VPC 서비스 제어를 사용하여 서비스 경계 설정

VPC 서비스 제어는 서비스 경계를 설정하고 데이터 전송 경계를 만들 수 있는 Google Cloud 기능입니다. Eventarc에서 VPC 서비스 제어를 사용하면 서비스를 보호할 수 있습니다.

서비스 경계를 만들 때 모든 서비스를 보호하는 것이 좋습니다.

Eventarc Advanced

  • 서비스 경계 외부의 Eventarc Advanced 버스는 경계 내 Google Cloud 프로젝트의 이벤트를 수신할 수 없습니다. 경계 내의 Eventarc Advanced 버스는 경계 외부의 소비자에게 이벤트를 라우팅할 수 없습니다.

    • Eventarc Advanced 버스에 게시하려면 이벤트 소스가 버스와 동일한 서비스 경계 내에 있어야 합니다.
    • 메시지를 소비하려면 이벤트 소비자가 버스와 동일한 서비스 경계 내에 있어야 합니다.
  • 인그레스에서 플랫폼 로그를 확인하여 Enrollment, GoogleApiSource, MessageBus, Pipeline 리소스에 대한 VPC 서비스 제어 지원을 확인할 수 있습니다.

Eventarc Standard

  • 서비스 경계로 보호되는 프로젝트에서 Eventarc Standard에는 Pub/Sub와 동일한 제한사항이 적용됩니다.

    • Cloud Run 대상으로 이벤트를 라우팅할 때 푸시 엔드포인트가 기본 run.app URL이 있는 Cloud Run 서비스로 설정되어 있지 않으면 새 Pub/Sub 푸시 구독을 만들 수 없습니다. 커스텀 도메인은 작동하지 않습니다.

    • Pub/Sub 푸시 엔드포인트가 Workflows 실행으로 설정된 Workflows 대상으로 이벤트를 라우팅하는 경우에는 Eventarc를 통해서만 새 Pub/Sub 푸시 구독을 만들 수 있습니다. Workflows 엔드포인트의 푸시 인증에 사용되는 서비스 계정은 서비스 경계에 포함되어야 합니다.

  • VPC 서비스 제어는 내부 HTTP 엔드포인트에 대한 Eventarc 트리거 생성을 차단합니다. 이러한 대상으로 이벤트를 라우팅할 때는 VPC 서비스 제어 보호가 적용되지 않습니다.

다음 단계