注意：Cloud Functions 已重命名为 Cloud Run 函数。如需了解详情，请参阅 Cloud Run 函数博文。

配置 VPC Service Controls

VPC Service Controls 是一项 Google Cloud 功能，可让您设置安全的边界以防数据渗漏。本指南将介绍如何搭配 Cloud Run functions 使用 VPC Service Controls，为您的函数额外增加一层安全性。

如需了解此集成的限制，请参阅 VPC Service Controls 文档。

组织级别的设置

如需将 VPC Service Controls 与 Cloud Run functions 搭配使用，您可以在组织级层配置服务边界。通过配置适当的组织政策，您可以确保在使用 Cloud Run functions 时强制执行 VPC Service Controls 检查，并且开发者只能部署符合 VPC Service Controls 要求的服务。详细了解设置组织政策时的继承和违规行为。

设置 VPC Service Controls 边界

设置服务边界需要 Organization Viewer (roles/resourcemanager.organizationViewer) 和 Access Context Manager Editor (roles/accesscontextmanager.policyEditor) 角色。

按照 VPC Service Controls 快速入门执行以下操作：

创建服务边界。

注意：Cloud Run functions 使用 Cloud Build、Artifact Registry、Container Registry（已弃用）和 Cloud Storage 在可运行的容器中构建和管理源代码。如果这些服务受服务边界的限制，则 VPC Service Controls 会阻止 Cloud Run functions 构建，即使 Cloud Run functions 未作为受限服务添加到边界也是如此。如需在服务边界内使用 Cloud Run functions，请在服务边界中为 Cloud Build 服务账号配置入站流量规则。Cloud Build 还使用 Cloud Logging，如果 VPC-SC 边界限制了它，则 Cloud Logging 可能无法正确记录。这不会导致构建失败，但我们建议使用入站流量规则授予 Cloud Build 对服务边界的访问权限，以确保正确进行日志记录。
向边界添加一个或多个项目。
注意：如果您使用的是共享 VPC，请务必将宿主项目和服务项目添加到同一边界。
限制 Cloud Functions API 和 Cloud Run Admin API。

设置服务边界后，系统会检查所有对受限 API 的调用，以确保这些调用都源自同一个边界内部。

可选：为开发机器启用边界访问权限

对 Cloud Functions API 执行的 VPC Service Controls 检查会导致从服务边界以外发起的 Cloud Functions API 调用失败。因此，要使用 Cloud Functions API、Google Cloud 控制台中的 Cloud Run functions 界面或 Google Cloud CLI 来管理函数，请选择以下任一操作：

使用 VPC Service Controls 边界内的机器。例如，您可以使用 Compute Engine 虚拟机或通过 VPN 连接到 VPC 网络的本地机器。
授予函数开发者访问边界的权限。例如，您可以根据 IP 地址或用户身份，创建可访问边界的权限级别。查看允许从边界外部访问受保护的资源了解详情。

设置组织政策

管理组织政策需要 Organization Policy Administrator (roles/orgpolicy.policyAdmin) 角色。

为了符合 VPC Service Controls 规范并避免数据渗漏，请设置以下组织政策来控制服务边界中 Cloud Run functions 的允许网络设置。

限制允许的入站流量设置

开发者针对 Cloud Run functions 可使用的入站设置由 run.allowedIngress 组织政策控制。对此组织政策进行设置，以强制要求开发者使用内部值：

控制台

转到 Google Cloud 控制台中的允许使用的入站流量设置政策页面：

打开组织政策
点击管理政策。
在修改政策页面上，选择自定义。
在强制执行政策下，选择替换。
在政策值下，选择自定义。
在政策类型下，选择允许。
在自定义值下，输入 internal。
点击设置政策。

gcloud

使用 gcloud resource-manager org-policies allow 命令：

gcloud resource-manager org-policies allow \
  run.allowedIngress internal \
  --organization ORGANIZATION_ID

其中 ORGANIZATION_ID 是组织 ID。

此组织政策就位后，所有函数都必须使用 internal 值作为其入站设置。这意味着 HTTP 函数只能接受源自其服务边界内的 VPC 网络的流量。指定其他值的函数部署将失败。

限制允许的 VPC 连接器出站设置

开发者针对 Cloud Run functions 可使用的出站设置由 run.allowedVPCEgress 组织政策控制。将此组织政策设置为仅允许所有流量值：

控制台

转到 Google Cloud 控制台中的允许使用的 VPC 连接器出站流量设置政策页面：

打开组织政策
点击管理政策。
在修改政策页面上，选择自定义。
在强制执行政策下，选择替换。
在政策值下，选择自定义。
在政策类型下，选择允许。
在自定义值下，输入 all-traffic。
点击设置政策。

gcloud

使用 gcloud resource-manager org-policies allow 命令：

gcloud resource-manager org-policies allow \
  run.allowedVPCEgress all-traffic \
  --organization ORGANIZATION_ID

其中 ORGANIZATION_ID 是组织 ID。

此组织政策就位后，所有函数都必须使用值 all-traffic 作为其出站设置。这意味着函数必须通过您的 VPC 网络路由发送所有出站流量。指定其他值的函数部署将失败。

结合使用 cloudfunctions.requireVPCConnector 组织政策，这将强制所有出站流量通过受配置的防火墙和路由规则约束的 VPC 网络。

项目级设置

对于服务边界内的每个独立项目，您必须执行额外的配置才能使用 VPC Service Controls。

配置 VPC 网络

如需在缓解数据渗漏风险的同时访问 Google API 和服务，请求应发送至受限虚拟 IP (VIP) 地址范围 199.36.153.4/30 (restricted.googleapis.com)。

对于项目中的每个 VPC 网络，请按照以下步骤阻止除流向受限 VIP 地址范围的流量之外的出站流量：

配置防火墙规则以阻止数据离开 VPC 网络：
注意：如果未能正确配置防火墙规则，您的函数可能容易发生数据渗漏。
- 创建阻止所有出站流量的拒绝出站规则。
  
  注意：确保拒绝优先级在 1000 之后的所有出站防火墙规则。否则，从无服务器 VPC 访问通道连接器到您的函数的流量将被阻止。
- 创建一条允许传输到 TCP 端口 443 上的 199.36.153.4/30 的出站规则。确保该规则具有的优先级高于您刚刚创建的拒绝出站规则，从而只允许传输到受限 VIP 范围的出站流量通过。
配置 DNS 以将 *.googleapis.com 解析为 restricted.googleapis.com。

使用将 *.cloudfunctions.net 映射到 199.36.153.4/30 IP 范围的 A 记录配置 DNS。您可以使用 Cloud DNS 实现此目的：

gcloud dns managed-zones create ZONE_NAME \
--visibility=private \
--networks=https://www.googleapis.com/compute/v1/projects/PROJECT_NAME/global/networks/VPC_NAME \
--description=none \
--dns-name=cloudfunctions.net

gcloud dns record-sets transaction start --zone=ZONE_NAME

gcloud dns record-sets transaction add --name=*.cloudfunctions.net. \
--type=A 199.36.153.4 199.36.153.5 199.36.153.6 199.36.153.7 \
--zone=ZONE_NAME \
--ttl=300

gcloud dns record-sets transaction execute --zone=ZONE_NAME

为 VPC 连接器的子网启用专用 Google 访问通道。

注意：仅当您在创建 VPC 连接器时指定自己的子网的情况下，才需要执行此操作。如果您使用自定义 IP 范围创建了连接器，则系统会在您启用专用 Google 访问通道的情况下为您创建 Google 管理的子网。

此时，来自 VPC 网络内部的请求会发生以下情况：

无法离开 VPC 网络，从而阻止了服务边界以外的出站流量。
只能访问符合 VPC Service Controls 规范的 Google API 和服务，防止通过 Google API 渗漏数据。

授予 Cloud Build 服务账号访问 VPC Service Controls 边界的权限

Cloud Run functions 使用 Cloud Build 将源代码构建到可运行的容器中。如需将 Cloud Run functions 与 VPC Service Controls 搭配使用，您必须将 Cloud Build 服务账号（无论是默认服务账号还是自定义服务账号）配置为有权访问您的服务边界。

查找服务账号名称

如果您使用的是默认 Cloud Build 服务账号，则可以按以下方式找到其名称：

使用 Google Cloud 控制台中的 IAM 页面查找 Cloud Build 服务账号。

打开 IAM
确保项目下拉列表中显示了正确的项目。
搜索 cloudbuild.gserviceaccount.com。格式为 PROJECT_NUMBER@cloudbuild.gserviceaccount.com 的电子邮件地址是服务账号名称。

如果您有自定义 Cloud Build 服务账号，请改用该名称。

授予服务账号访问服务边界的权限

获知服务账号名称后，请按照按用户或服务账号限制访问权限指南为服务账号创建一个访问权限级别。然后，按照向现有边界添加访问权限级别的说明，将访问权限级别添加到服务边界。

部署符合 VPC Service Controls 规范的函数

为 Cloud Run functions 配置 VPC Service Controls 之后，您必须确保服务边界内部署的所有函数都符合指定的组织政策。也就是说：

所有函数都必须使用无服务器 VPC 访问通道连接器。 如需了解详情，请参见连接到 VPC 网络。
所有函数必须仅允许来自内部来源的流量。如需了解详情，请参阅入站流量设置。
所有函数必须通过 VPC 网络路由发送所有传出流量。如需了解详情，请参阅出站流量设置。

不符合这些条件的函数部署将失败。

审核现有函数以确保符合 VPC Service Controls 规范

设置 VPC Service Controls 之后，系统会自动检查在服务边界内的项目中创建的新函数是否符合规范。不过，为了避免现有工作负载中断，现有函数将保持运行，但可能不符合组织政策。

建议您审核现有函数，并根据需要更新或重新部署它们。为此，您可以创建一个使用 Cloud Functions API 的脚本来列出函数，并突出显示未指定正确网络设置的函数。

将 VPC Service Controls 与边界外的函数搭配使用

上述部分适用于在 VPC Service Controls 服务边界内部署 Cloud Run functions 的场景。

如果您需要在服务边界外部署函数，但该函数需要访问边界内的资源，请使用以下配置：

授予 Cloud Build 服务账号访问 VPC Service Controls 边界的权限。
向函数的运行时服务账号授予对边界的访问权限。您可以通过创建访问权限级别并将访问权限级别添加到服务边界或者通过在边界上创建入站流量政策来执行此操作。
将函数连接到 VPC 网络。
通过 VPC 网络路由来自函数的所有传出流量。如需了解详情，请参阅出站流量设置。

完成此配置后，该函数将能够访问受边界保护的资源。