VPC Service Controls est une fonctionnalité de Google Cloud qui vous permet de configurer un périmètre de service et de créer une limite de transfert de données. Vous pouvez utiliser VPC Service Controls conjointement avec Eventarc pour protéger vos services.
Nous vous recommandons de protéger tous les services lors de la création d'un périmètre de service.
Limites
Dans les projets protégés par un périmètre de service, les limites suivantes s'appliquent:
Eventarc Advanced
Un bus Eventarc Advanced en dehors d'un périmètre de service ne peut pas recevoir d'événements provenant de projets Google Cloud situés dans le périmètre. Un bus Eventarc Advanced à l'intérieur d'un périmètre ne peut pas acheminer d'événements vers un consommateur en dehors du périmètre.
- Pour publier sur un bus Eventarc Advanced, la source d'un événement doit se trouver dans le même périmètre de service que le bus.
- Pour consommer un message, un consommateur d'événements doit se trouver dans le même périmètre de service que le bus.
Vous ne pouvez pas créer de pipeline Eventarc Advanced dans un périmètre de service. Vous pouvez tester la compatibilité de VPC Service Controls avec les ressources
MessageBus
,GoogleApiSource
etEnrollment
, et afficher les journaux de la plate-forme sur l'entrée. Toutefois, vous ne pouvez pas tester la sortie VPC Service Controls. Si l'une de ces ressources se trouve dans un périmètre de service, vous ne pouvez pas configurer Eventarc Advanced pour diffuser des événements de bout en bout dans ce périmètre.
Eventarc Standard
Eventarc Standard est soumis aux mêmes limites que Pub/Sub:
Lorsque vous acheminez des événements vers des destinations Cloud Run, vous ne pouvez créer des abonnements push Pub/Sub que lorsque les points de terminaison push sont définis sur des services Cloud Run avec des URL
run.app
par défaut. Les domaines personnalisés ne fonctionnent pas.Lorsque vous acheminez des événements vers des destinations Workflows pour lesquelles le point de terminaison push Pub/Sub est défini sur une exécution Workflows, vous ne pouvez créer que des abonnements push Pub/Sub via Eventarc. Notez que le compte de service utilisé pour l'authentification push pour le point de terminaison Workflows doit être inclus dans le périmètre de service.
VPC Service Controls bloque la création de déclencheurs Eventarc pour les points de terminaison HTTP internes. La protection VPC Service Controls ne s'applique pas lors du routage d'événements vers ces destinations.
Étapes suivantes
Pour en savoir plus sur VPC Service Controls, consultez la présentation et les produits compatibles et limitations.
Pour obtenir des conseils sur l'activation de VPC Service Controls, consultez la section Bonnes pratiques pour activer VPC Service Controls.
Pour connaître les bonnes pratiques de conception des périmètres de service, consultez la page Concevoir et concevoir des périmètres de service.
Pour configurer un périmètre de service, consultez la page Créer un périmètre de service.