Controles del servicio de VPC es una función de Google Cloud que te permite configurar un perímetro de servicio y crear un límite de transferencia de datos. Puedes usar los Controles del servicio de VPC con Eventarc para ayudar a proteger tus servicios.
Te recomendamos que protejas todos los servicios cuando crees un perímetro de servicio.
Limitaciones
En los proyectos protegidos por un perímetro de servicio, se aplican las siguientes limitaciones:
Eventarc Advanced
Un bus de Eventarc Advanced fuera de un perímetro de servicio no puede recibir eventos de proyectos de Google Cloud dentro del perímetro. Un bus de Eventarc Advanced dentro de un perímetro no puede enrutar eventos a un consumidor fuera del perímetro.
- Para publicar en un bus de Eventarc Advanced, la fuente de un evento debe estar dentro del mismo perímetro de servicio que el bus.
- Para consumir un mensaje, un consumidor de eventos debe estar dentro del mismo perímetro de servicio que el bus.
No puedes crear una canalización de Eventarc Advanced dentro de un perímetro de servicio. Puedes probar la compatibilidad de los Controles del servicio de VPC con los recursos
MessageBus,GoogleApiSourceyEnrollment, y ver los registros de la plataforma en la entrada. Sin embargo, no puedes probar la salida de los Controles del servicio de VPC. Si alguno de esos recursos se encuentra en un perímetro de servicio, no puedes configurar Eventarc Advanced para entregar eventos de extremo a extremo dentro de ese perímetro.
Eventarc Standard
Eventarc estándar tiene las mismas limitaciones que Pub/Sub:
Cuando enrutas eventos a destinos de Cloud Run, solo puedes crear suscripciones de envío nuevas de Pub/Sub cuando los extremos de envío están configurados en servicios de Cloud Run con URLs
run.apppredeterminadas. Los dominios personalizados no funcionan.Cuando enrutas eventos a destinos de Workflows para los que el extremo de envío de Pub/Sub está configurado en una ejecución de Workflows, solo puedes crear suscripciones de envío de Pub/Sub nuevas mediante Eventarc. Ten en cuenta que la cuenta de servicio que se usa para la autenticación de envío para el extremo de Workflows debe incluirse en el perímetro de servicio.
Los Controles del servicio de VPC bloquean la creación de activadores de Eventarc para extremos HTTP internos. La protección de los Controles del servicio de VPC no se aplica cuando se enrutan eventos a esos destinos.
¿Qué sigue?
Para obtener más información sobre los Controles del servicio de VPC, consulta la descripción general, las limitaciones y los productos compatibles.
Si deseas conocer las prácticas recomendadas para habilitar los Controles del servicio de VPC, consulta Prácticas recomendadas para habilitar los Controles del servicio de VPC.
Para obtener prácticas recomendadas a fin de diseñar perímetros de servicio, consulta Diseña y diseña perímetros de servicio.
Para configurar un perímetro de servicio, consulta Crea un perímetro de servicio.