Configurer un périmètre de service à l'aide de VPC Service Controls

VPC Service Controls est une fonctionnalité de Google Cloud qui vous permet de configurer un périmètre de service et de créer une limite de transfert de données. Vous pouvez utiliser VPC Service Controls conjointement avec Eventarc pour protéger vos services.

Nous vous recommandons de protéger tous les services lors de la création d'un périmètre de service.

Limites

Dans les projets protégés par un périmètre de service, les limites suivantes s'appliquent:

Eventarc Advanced

  • Un bus Eventarc Advanced en dehors d'un périmètre de service ne peut pas recevoir d'événements provenant de projets Google Cloud situés dans le périmètre. Un bus Eventarc Advanced à l'intérieur d'un périmètre ne peut pas acheminer d'événements vers un consommateur en dehors du périmètre.

    • Pour publier sur un bus Eventarc Advanced, la source d'un événement doit se trouver dans le même périmètre de service que le bus.
    • Pour consommer un message, un consommateur d'événements doit se trouver dans le même périmètre de service que le bus.
  • Vous ne pouvez pas créer de pipeline Eventarc Advanced dans un périmètre de service. Vous pouvez tester la compatibilité de VPC Service Controls avec les ressources MessageBus, GoogleApiSource et Enrollment, et afficher les journaux de la plate-forme sur l'entrée. Toutefois, vous ne pouvez pas tester la sortie VPC Service Controls. Si l'une de ces ressources se trouve dans un périmètre de service, vous ne pouvez pas configurer Eventarc Advanced pour diffuser des événements de bout en bout dans ce périmètre.

Eventarc Standard

  • Eventarc Standard est soumis aux mêmes limites que Pub/Sub:

    • Lorsque vous acheminez des événements vers des destinations Cloud Run, vous ne pouvez créer des abonnements push Pub/Sub que lorsque les points de terminaison push sont définis sur des services Cloud Run avec des URL run.app par défaut. Les domaines personnalisés ne fonctionnent pas.

    • Lorsque vous acheminez des événements vers des destinations Workflows pour lesquelles le point de terminaison push Pub/Sub est défini sur une exécution Workflows, vous ne pouvez créer que des abonnements push Pub/Sub via Eventarc. Notez que le compte de service utilisé pour l'authentification push pour le point de terminaison Workflows doit être inclus dans le périmètre de service.

  • VPC Service Controls bloque la création de déclencheurs Eventarc pour les points de terminaison HTTP internes. La protection VPC Service Controls ne s'applique pas lors du routage d'événements vers ces destinations.

Étapes suivantes