使用 VPC Service Controls 设置服务边界

VPC Service Controls 是一项 Google Cloud 功能，可让您设置服务边界并创建数据传输边界。您可以将 VPC Service Controls 与 Eventarc 搭配使用来帮助保护服务。

我们建议您在创建服务边界时保护所有服务。

Eventarc Advanced

• 服务边界外部的 Eventarc Advanced 总线无法接收边界内 Google Cloud 项目的事件。边界内的 Eventarc Advanced 总线无法将事件路由到边界外的使用方。

  • 如需发布到 Eventarc Advanced 总线，事件来源必须位于与该总线相同的服务边界内。
  • 如需使用消息，事件使用方必须位于与总线相同的服务边界内。

• 您可以通过查看入站流量平台日志来验证 VPC Service Controls 是否支持 Enrollment、GoogleApiSource、MessageBus 和 Pipeline 资源。

Eventarc Standard

• 在受服务边界保护的项目中，Eventarc Standard 会受到与 Pub/Sub 相同限制的约束：

  • 将事件路由到 Cloud Run 目标时，您只能在将推送端点设置为使用默认 run.app 网址的 Cloud Run 服务时创建新的 Pub/Sub 推送订阅。自定义网域不起作用。

  • 将事件路由到 Pub/Sub 推送端点设置为 Workflows 执行的 Workflows 目标时，您只能通过 Eventarc 创建新的 Pub/Sub 推送订阅。 请注意，用于 Workflows 端点的推送身份验证的服务账号必须包含在服务边界内。

• VPC Service Controls 会阻止为内部 HTTP 端点创建 Eventarc 触发器的操作。 将事件路由到此类目标时，VPC Service Controls 保护不适用。

后续步骤

• 如需详细了解 VPC Service Controls，请参阅概览以及支持的产品和限制。

• 如需了解启用 VPC Service Controls 的最佳做法，请参阅启用 VPC Service Controls 的最佳做法。

• 如需了解设计服务边界的最佳做法，请参阅设计和构建服务边界。

• 如需设置服务边界，请参阅创建服务边界。