使用 VPC Service Controls 设置服务边界

VPC Service Controls 是 Google Cloud 的一项功能,可让您设置服务边界并创建数据传输边界。您可以将 VPC Service Controls 与 Eventarc 搭配使用来帮助保护服务。

我们建议您在创建服务边界时保护所有服务。

限制

在受服务边界保护的项目中,存在以下限制:

  • Eventarc 受到与 Pub/Sub 相同限制的约束:

    • 将事件路由到 Cloud Run 目标时,您只能在将推送端点设置为使用默认 run.app 网址的 Cloud Run 服务时创建新的 Pub/Sub 推送订阅:自定义网域不起作用。

    • 将事件路由到 Pub/Sub 推送端点设置为 Workflows 执行的 Workflows 目标时,您只能通过 Eventarc 创建新的 Pub/Sub 推送订阅。 请注意,用于 Workflows 端点的推送身份验证的服务账号必须包含在服务边界内。

  • VPC Service Controls 会阻止为内部 HTTP 端点创建 Eventarc 触发器的操作。 将事件路由到此类目标时,VPC Service Controls 保护不适用。

后续步骤