VPC Service Controls 是一項 Google Cloud 功能,可讓您設定服務範圍並建立資料傳輸邊界。您可以搭配使用 VPC Service Controls 和 Eventarc,保護服務安全。
建立服務範圍時,建議您保護所有服務。
Eventarc Advanced
服務範圍外的 Eventarc Advanced 匯流排無法接收範圍內 Google Cloud 專案的事件。範圍內的 Eventarc Advanced 匯流排無法將事件轉送至範圍外的消費者。
- 如要發布至 Eventarc Advanced 匯流排,事件來源必須與匯流排位於相同的服務範圍內。
- 如要取用訊息,事件消費者必須與匯流排位於同一服務邊界內。
如要驗證
Enrollment、GoogleApiSource、MessageBus和Pipeline資源是否支援 VPC Service Controls,請查看平台記錄檔的連入流量。
Eventarc Standard
在受服務範圍保護的專案中,Eventarc Standard 會受到與 Pub/Sub 相同的限制:
將事件傳送至 Cloud Run 目的地時,只有在推送端點設為具有預設
run.appURL 的 Cloud Run 服務時,才能建立新的 Pub/Sub 推送訂閱項目。自訂網域不適用。如果將事件轉送至 Workflows 目的地,且 Pub/Sub 推送端點設為 Workflows 執行作業,您只能透過 Eventarc 建立新的 Pub/Sub 推送訂閱項目。請注意,用於 Workflows 端點推送驗證的服務帳戶必須納入服務安全防護範圍。
VPC Service Controls 會禁止為內部 HTTP 端點建立 Eventarc 觸發程序。將事件轉送至這類目的地時,VPC Service Controls 保護措施不適用。
後續步驟
如要瞭解啟用 VPC Service Controls 的最佳做法,請參閱啟用 VPC Service Controls 的最佳做法。
如需設計服務範圍的最佳做法,請參閱「設計及建構服務範圍」。
如要設定服務範圍,請參閱「建立服務範圍」。