支持的产品和限制

本页面包含一个表格,其中列有 VPC Service Controls 支持的产品和服务,以及某些服务和接口的已知限制列表。

支持的产品

VPC Service Controls 支持下列产品。

支持的产品 说明

AI Platform Prediction

状态 Beta 版。此项产品集成已为更广泛的测试和使用做好准备,但尚未完全支持生产环境。
可通过边界进行保护? 是。您可以配置边界以保护此服务。
服务地址 ml.googleapis.com
详情

VPC Service Controls 支持在线预测,但不支持批量预测。

如需详细了解 AI Platform Prediction,请参阅产品文档

限制
  • 如需全面保护 AI Platform Prediction,请将以下所有 API 添加到服务边界:

    • AI Platform Training and Prediction API (ml.googleapis.com)
    • Pub/Sub API (pubsub.googleapis.com)
    • Cloud Storage API (storage.googleapis.com)
    • Google Kubernetes Engine API (container.googleapis.com)
    • Container Registry API (containerregistry.googleapis.com)
    • Cloud Logging API (logging.googleapis.com)

    详细了解如何为 AI Platform Prediction 设置 VPC Service Controls

  • 在服务边界内使用 AI Platform Prediction 时不支持使用批量预测

  • AI Platform Prediction 和 AI Platform Training 均使用 AI Platform Training and Prediction API,因此您必须为这两种产品都配置 VPC Service Controls。详细了解如何为 AI Platform Training 设置 VPC Service Controls

AI Platform Training

状态 正式版。VPC Service Controls 全面支持此产品集成。
可通过边界进行保护? 是。您可以配置边界以保护此服务。
服务地址 ml.googleapis.com
详情

AI Platform Training 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

如需详细了解 AI Platform Training,请参阅产品文档

限制
  • 如需全面保护您的 AI Platform Training 训练作业,请将以下所有 API 添加到服务边界:

    • AI Platform Training and Prediction API (ml.googleapis.com)
    • Pub/Sub API (pubsub.googleapis.com)
    • Cloud Storage API (storage.googleapis.com)
    • Google Kubernetes Engine API (container.googleapis.com)
    • Container Registry API (containerregistry.googleapis.com)
    • Cloud Logging API (logging.googleapis.com)

    详细了解如何为 AI Platform Training 设置 VPC Service Controls

  • 在服务边界内使用 AI Platform Training 时不支持使用 TPU 进行训练

  • AI Platform Training 和 AI Platform Prediction 均使用 AI Platform Training and Prediction API,因此您必须为这两种产品都配置 VPC Service Controls。详细了解如何为 AI Platform Prediction 设置 VPC Service Controls

AI Platform Notebooks

状态 正式版。VPC Service Controls 全面支持此产品集成。
可通过边界进行保护? 是。您可以配置边界以保护此服务。
服务地址 notebooks.googleapis.com
详情

AI Platform Notebooks 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

如需详细了解 AI Platform Notebooks,请参阅产品文档

限制
  • 如需在 VPC Service Controls 服务边界内使用 AI Platform Notebooks,您必须添加或配置多个 DNS 条目,以便将以下网域指向受限 VIP 地址:

    • *.notebooks.googleapis.com
    • *.datalab.cloud.google.com
    • *.notebooks.cloud.google.com
    • *.notebooks.googleusercontent.com

Apigee 和 Apigee Hybrid

状态 正式版。VPC Service Controls 全面支持此产品集成。
可通过边界进行保护? 是。您可以配置边界以保护此服务。
服务地址 apigee.googleapis.com,
apigeeconnect.googleapis.com
详细信息

Apigee 和 Apigee Hybrid 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

如需详细了解 Apigee 和 Apigee Hybrid,请参阅产品文档

限制

Apigee 与 VPC Service Controls 的集成具有以下限制:

  • 如果您使用门户,则必须使用 Drupal。您不能使用集成门户。
  • 您必须在服务边界内部署 Drupal 门户。

Anthos Service Mesh

状态 正式版。VPC Service Controls 全面支持此产品集成。
可通过边界进行保护? 是。您可以配置边界以保护此服务。
服务地址 meshca.googleapis.com
详情

Anthos Service Mesh 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

如需详细了解 Anthos Service Mesh,请参阅产品文档

限制

  • 服务边界只能保护 Cloud Service Mesh Certificate Authority API。您可以添加服务边界来保护您的身份命名空间

Artifact Registry

状态 正式版。VPC Service Controls 全面支持此产品集成。
可通过边界进行保护? 是。您可以配置边界以保护此服务。
服务地址 artifactregistry.googleapis.com
详情

除了保护 Artifact Registry API 之外,您还可以在 GKE 和 Compute Engine 的服务边界内使用 Artifact Registry。

如需详细了解 Artifact Registry,请参阅产品文档

限制

由于不使用 googleapis.com 网域,Artifact Registry 必须通过专用 DNS 或 BIND 进行配置,以便从其他 API 单独映射到受限 VIP 地址。如需了解详情,请参阅在服务边界内保护代码库

AutoML Natural Language

状态 正式版。VPC Service Controls 全面支持此产品集成。
可通过边界进行保护? 是。您可以配置边界以保护此服务。
服务地址 automl.googleapis.com,
eu-automl.googleapis.com
详情

如需全面保护 AutoML API,请将以下所有 API 包含到您的边界中:

  • AutoML API (automl.googleapis.com)
  • Cloud Storage API (storage.googleapis.com)
  • Compute Engine API (compute.googleapis.com)
  • BigQuery API (bigquery.googleapis.com)

如需详细了解 AutoML Natural Language,请参阅产品文档

限制
与 VPC Service Controls 集成的所有 AutoML 产品均使用相同的服务地址。如需了解详情,请参阅将 AutoML 产品与 VPC Service Controls 配合使用的限制

AutoML Tables

状态 Beta 版。此项产品集成已为更广泛的测试和使用做好准备,但尚未完全支持生产环境。
可通过边界进行保护? 是。您可以配置边界以保护此服务。
服务地址 automl.googleapis.com,
eu-automl.googleapis.com
详情

如需全面保护 AutoML API,请将以下所有 API 包含到您的边界中:

  • AutoML API (automl.googleapis.com)
  • Cloud Storage API (storage.googleapis.com)
  • Compute Engine API (compute.googleapis.com)
  • BigQuery API (bigquery.googleapis.com)

如需详细了解 AutoML Tables,请参阅产品文档

限制
与 VPC Service Controls 集成的所有 AutoML 产品均使用相同的服务地址。如需了解详情,请参阅将 AutoML 产品与 VPC Service Controls 配合使用的限制

AutoML Translation

状态 正式版。VPC Service Controls 全面支持此产品集成。
可通过边界进行保护? 是。您可以配置边界以保护此服务。
服务地址 automl.googleapis.com,
eu-automl.googleapis.com
详情

如需全面保护 AutoML API,请将以下所有 API 包含到您的边界中:

  • AutoML API (automl.googleapis.com)
  • Cloud Storage API (storage.googleapis.com)
  • Compute Engine API (compute.googleapis.com)
  • BigQuery API (bigquery.googleapis.com)

如需详细了解 AutoML Translation,请参阅产品文档

限制
与 VPC Service Controls 集成的所有 AutoML 产品均使用相同的服务地址。如需了解详情,请参阅将 AutoML 产品与 VPC Service Controls 配合使用的限制

AutoML Video Intelligence

状态 Beta 版。此项产品集成已为更广泛的测试和使用做好准备,但尚未完全支持生产环境。
可通过边界进行保护? 是。您可以配置边界以保护此服务。
服务地址 automl.googleapis.com,
eu-automl.googleapis.com
详情

如需全面保护 AutoML API,请将以下所有 API 包含到您的边界中:

  • AutoML API (automl.googleapis.com)
  • Cloud Storage API (storage.googleapis.com)
  • Compute Engine API (compute.googleapis.com)
  • BigQuery API (bigquery.googleapis.com)

如需详细了解 AutoML Video Intelligence,请参阅产品文档

限制
与 VPC Service Controls 集成的所有 AutoML 产品均使用相同的服务地址。如需了解详情,请参阅将 AutoML 产品与 VPC Service Controls 配合使用的限制

AutoML Vision

状态 正式版。VPC Service Controls 全面支持此产品集成。
可通过边界进行保护? 是。您可以配置边界以保护此服务。
服务地址 automl.googleapis.com,
eu-automl.googleapis.com
详情

如需全面保护 AutoML API,请将以下所有 API 包含到您的边界中:

  • AutoML API (automl.googleapis.com)
  • Cloud Storage API (storage.googleapis.com)
  • Compute Engine API (compute.googleapis.com)
  • BigQuery API (bigquery.googleapis.com)

如需详细了解 AutoML Vision,请参阅产品文档

限制
与 VPC Service Controls 集成的所有 AutoML 产品均使用相同的服务地址。如需了解详情,请参阅将 AutoML 产品与 VPC Service Controls 配合使用的限制

BigQuery

状态 正式版。VPC Service Controls 全面支持此产品集成。
可通过边界进行保护? 是。您可以配置边界以保护此服务。
服务地址 bigquery.googleapis.com
详情

使用服务边界保护 BigQuery API 时,BigQuery Storage API 也受到保护。您无需专门将 BigQuery Storage API 添加到您的边界的受保护服务列表中。

如需详细了解 BigQuery,请参阅产品文档

限制
  • VPC Service Controls 不支持将受服务边界保护的 BigQuery 资源复制到另一个组织。访问权限级别不允许您跨组织进行复制。

    如需将受保护的 BigQuery 资源复制到另一个组织,请下载数据集(例如,以 CSV 文件格式下载),然后将该文件上传到其他组织。

  • 以下服务支持 BigQuery Data Transfer Service:

    Google 软件即服务 (SaaS) 应用

    外部云存储服务商 数据仓库 此外,Google Cloud Marketplace 提供了多项第三方转移作业服务

    注意:BigQuery Data Transfer Service 不支持从 BigQuery 数据集中导出数据。如需了解详情,请参阅导出表数据

  • 由于 BigQuery 在内部处理对多个资源的访问,因此 BigQuery 审核日志记录并不总是包含在发出请求时使用的所有资源。

  • 使用服务帐号访问受服务边界保护的 BigQuery 实例时,BigQuery 作业必须在边界内的项目中运行。默认情况下,BigQuery 客户端库会在服务帐号或用户的项目中运行作业,从而导致查询被 VPC Service Controls 拒绝。

Cloud Bigtable

状态 正式版。VPC Service Controls 全面支持此产品集成。
可通过边界进行保护? 是。您可以配置边界以保护此服务。
服务地址 bigtable.googleapis.com
详情

Cloud Bigtable 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

如需详细了解 Cloud Bigtable,请参阅产品文档

限制

Cloud Bigtable 与 VPC Service Controls 的集成没有任何已知的限制。

Binary Authorization

状态 Beta 版。此项产品集成已为更广泛的测试和使用做好准备,但尚未完全支持生产环境。
可通过边界进行保护? 是。您可以配置边界以保护此服务。
服务地址 binaryauthorization.googleapis.com
详细信息

将多个项目与 Binary Authorization 配合使用时,每个项目都必须包括在 VPC Service Controls 边界内。如需详细了解此使用场景,请参阅多项目设置

借助 Binary Authorization,您可以使用 Container Analysis,将证明者和证明分别存储为备注和发生实例。在这种情况下,您还必须在 VPC Service Controls 边界内包括 Container Analysis。如需了解详情,请参阅适用于 Container Analysis 的 VPC Service Controls 指南

如需详细了解 Binary Authorization,请参阅产品文档

限制

Binary Authorization 与 VPC Service Controls 的集成没有任何已知的限制。

Certificate Authority Service

状态 Beta 版。此项产品集成已为更广泛的测试和使用做好准备,但尚未完全支持生产环境。
可通过边界进行保护? 是。您可以配置边界以保护此服务。
服务地址 privateca.googleapis.com
详情

Certificate Authority Service 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

如需详细了解 Certificate Authority Service,请参阅产品文档

限制

Certificate Authority Service 与 VPC Service Controls 的集成没有任何已知的限制。

Data Catalog

状态 正式版。VPC Service Controls 全面支持此产品集成。
可通过边界进行保护? 是。您可以配置边界以保护此服务。
服务地址 datacatalog.googleapis.com
详细信息 Data Catalog 会自动遵守其他 Google Cloud 服务的边界

如需详细了解 Data Catalog,请参阅产品文档

限制

Data Catalog 与 VPC Service Controls 的集成没有任何已知的限制。

Cloud Data Fusion

状态 正式版。VPC Service Controls 全面支持此产品集成。
可通过边界进行保护? 是。您可以配置边界以保护此服务。
服务地址 datafusion.googleapis.com
详细信息

Cloud Data Fusion 要求执行一些特殊步骤以使用 VPC Service Controls 进行保护。

如需详细了解 Cloud Data Fusion,请参阅产品文档

限制
  • 在创建 Cloud Data Fusion 私有实例之前,请先建立 VPC Service Controls 安全边界。不支持对在设置 VPC Service Controls 之前创建的实例进行边界保护。

  • 目前,Cloud Data Fusion 数据层面界面不支持使用基于身份的访问权限来指定访问权限级别。

Compute Engine

状态 Beta 版。此项产品集成已为更广泛的测试和使用做好准备,但尚未完全支持生产环境。
可通过边界进行保护? 是。您可以配置边界以保护此服务。
服务地址 compute.googleapis.com
详情

VPC Service Controls 对 Compute Engine 的支持具有以下安全优势:

  • 限制对敏感 API 操作的访问权限
  • 将永久性磁盘快照和自定义映像限制在边界内
  • 限制对实例元数据的访问权限

由于 VPC Service Controls 支持 Compute Engine,因此您也可以在服务边界内利用 Virtual Private Cloud 网络和 Google Kubernetes Engine 专用集群。

如需详细了解 Compute Engine,请参阅产品文档

限制
  • 分层防火墙不受服务边界的影响。

  • VPC 对等互连操作不会强制实施 VPC 服务边界限制。

  • 共享 VPC 的 projects.ListXpnHosts API 方法不会对返回的项目强制实施服务边界限制。

  • 如需允许从受服务边界保护的项目的 Cloud Storage 中创建 Compute Engine 映像,创建该映像的用户应临时添加到该边界的访问权限级别。

  • VPC Service Controls 不支持在服务边界内的 Compute Engine 虚拟机上使用开源版本的 Kubernetes。

Dataflow

状态 正式版。VPC Service Controls 全面支持此产品集成。
可通过边界进行保护? 是。您可以配置边界以保护此服务。
服务地址 dataflow.googleapis.com
详细信息

Dataflow 支持多种存储服务连接器。以下连接器已通过验证,可与服务边界内的 Dataflow 配合使用:

如需详细了解 Dataflow,请参阅产品文档

限制

  • 自定义 BIND 在使用 Dataflow 时不受支持。如需在将 Dataflow 与 VPC Service Controls 结合使用时自定义 DNS 解析,请使用 Cloud DNS 专用区域,而不是使用自定义 BIND 服务器。如需使用您自己的本地 DNS 解析,请考虑使用 Google Cloud DNS 转发方法

  • 并非所有存储服务连接器均已经过验证,且确定可在服务边界内与 Dataflow 配合使用。如需查看已验证连接器的列表,请参阅 Dataflow 详情

  • 将 Python 3.5 与 Apache Beam SDK 2.20.0‑2.22.0 配合使用时,如果工作器仅具有专用 IP 地址(例如,使用 VPC Service Controls 保护资源时),则 Dataflow 作业将在启动时失败。如果 Dataflow 工作器只能具有专用 IP 地址(例如,使用 VPC Service Controls 保护资源时),请不要将 Python 3.5 与 Apache Beam SDK 2.20.0-2.22.0 结合使用。这种组合会导致作业在启动时失败。

Dataproc

状态 正式版。VPC Service Controls 全面支持此产品集成。
可通过边界进行保护? 是。您可以配置边界以保护此服务。
服务地址 dataproc.googleapis.com
详细信息

Dataproc 要求执行一些特殊步骤以使用 VPC Service Controls 进行保护。

如需详细了解 Dataproc,请参阅产品文档

限制

  • 如需使用服务边界保护 Dataproc 集群,您必须按照设置专用连接的说明操作,以允许该集群在边界内正常工作。

Cloud Data Loss Prevention

状态 正式版。VPC Service Controls 全面支持此产品集成。
可通过边界进行保护? 是。您可以配置边界以保护此服务。
服务地址 dlp.googleapis.com
详情

Cloud Data Loss Prevention 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

如需详细了解 Cloud Data Loss Prevention,请参阅产品文档

限制

Cloud Data Loss Prevention 与 VPC Service Controls 的集成没有任何已知的限制。

Cloud Functions

状态 正式版。VPC Service Controls 全面支持此产品集成。
可通过边界进行保护? 是。您可以配置边界以保护此服务。
服务地址 cloudfunctions.googleapis.com
详细信息

如需了解设置步骤,请参阅 Cloud Functions 文档。如果使用 Cloud Build 构建了 Cloud Functions,则 VPC Service Controls 保护不适用于构建阶段。VPC Service Controls 保护适用于除 Firebase Realtime Database 触发器和 Firebase Crashlytics 触发器之外的所有其他函数触发器。如需了解详情,请参阅“已知限制”。

如需详细了解 Cloud Functions,请参阅产品文档

限制
  • Cloud Functions 使用 Cloud Build 将源代码构建到可运行的容器中。如需在服务边界内使用 Cloud Functions,您必须为服务边界内的 Cloud Build 服务帐号配置访问权限级别

  • Cloud Build 具有不受限制的互联网访问权限,可以让您的函数使用 npm 软件包之类的外部依赖项。这种互联网访问权限可用于渗漏在构建时提供的数据,例如您上传的源代码。如果您希望降低这种渗漏攻击途径带来的风险,我们建议您仅允许受信任的开发者部署函数。请勿将 Cloud Functions Owner、Editor 或 Developer 这些 IAM 角色授予不受信任的开发者。

  • 对于 Firebase Realtime Database 触发器和 Firebase Crashlytics 触发器,用户可部署由 Firebase Realtime Database 或 Firebase Crashlytics 更改(这些更改是在部署了该函数所在项目的服务边界外的其他项目中进行)所触发的函数。如果您希望降低这两个触发器的渗漏攻击途径带来的风险,我们建议您仅允许受信任的开发者部署函数。请勿将 Cloud Functions Owner、Editor 或 Developer 这些 IAM 角色授予不受信任的开发者。

无服务器 VPC 访问通道

状态 正式版。VPC Service Controls 全面支持此产品集成。
可通过边界进行保护? 是。您可以配置边界以保护此服务。
服务地址 vpcaccess.googleapis.com
详细信息

无服务器 VPC 访问通道的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

如需详细了解无服务器 VPC 访问通道,请参阅产品文档

限制

无服务器 VPC 访问通道与 VPC Service Controls 的集成没有任何已知的限制。

Cloud Key Management Service

状态 正式版。VPC Service Controls 全面支持此产品集成。
可通过边界进行保护? 是。您可以配置边界以保护此服务。
服务地址 cloudkms.googleapis.com
详情

Cloud Key Management Service 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

如需详细了解 Cloud Key Management Service,请参阅产品文档

限制

Cloud Key Management Service 与 VPC Service Controls 的集成没有任何已知的限制。

Game Servers

状态 正式版。VPC Service Controls 全面支持此产品集成。
可通过边界进行保护? 是。您可以配置边界以保护此服务。
服务地址 gameservices.googleapis.com
详情

Game Servers 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

如需详细了解 Game Servers,请参阅产品文档

限制

Game Servers 与 VPC Service Controls 的集成没有任何已知的限制。

Managed Service for Microsoft Active Directory

状态 正式版。VPC Service Controls 全面支持此产品集成。
可通过边界进行保护? 是。您可以配置边界以保护此服务。
服务地址 managedidentities.googleapis.com
详情

以下各项需要的额外配置:

如需详细了解 Managed Service for Microsoft Active Directory,请参阅产品文档

限制

Managed Service for Microsoft Active Directory 与 VPC Service Controls 的集成没有任何已知的限制。

Secret Manager

状态 正式版。VPC Service Controls 全面支持此产品集成。
可通过边界进行保护? 是。您可以配置边界以保护此服务。
服务地址 secretmanager.googleapis.com
详情

Secret Manager 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

如需详细了解 Secret Manager,请参阅产品文档

限制

Secret Manager 与 VPC Service Controls 的集成没有任何已知的限制。

Pub/Sub

状态 正式版。VPC Service Controls 全面支持此产品集成。
可通过边界进行保护? 是。您可以配置边界以保护此服务。
服务地址 pubsub.googleapis.com
详情

VPC Service Controls 保护适用于除现有推送订阅之外的所有订阅者操作。

如需详细了解 Pub/Sub,请参阅产品文档

限制

  • 在受服务边界保护的项目中,无法创建新的推送订阅。
  • 系统不会阻止在服务边界之前创建的 Pub/Sub 推送订阅。

Pub/Sub Lite

状态 Beta 版。此项产品集成已为更广泛的测试和使用做好准备,但尚未完全支持生产环境。
可通过边界进行保护? 是。您可以配置边界以保护此服务。
服务地址 pubsublite.googleapis.com
详细信息

VPC Service Controls 保护适用于所有订阅者操作。

如需详细了解 Pub/Sub Lite,请参阅产品文档

限制

Pub/Sub Lite 与 VPC Service Controls 的集成没有任何已知的限制。

Cloud Build

状态 预览版。此项产品集成已为更广泛的测试和使用做好准备,但尚未完全支持生产环境。
可通过边界进行保护? 是。您可以配置边界以保护此服务。
服务地址 cloudbuild.googleapis.com
详细信息

只有受限用户可以将 VPC Service Controls 与 Cloud Build 搭配使用。

如需详细了解 Cloud Build,请参阅产品文档

限制

只有受限用户可以将 VPC Service Controls 与 Cloud Build 搭配使用。

Cloud Composer

状态 Beta 版。此项产品集成已为更广泛的测试和使用做好准备,但尚未完全支持生产环境。
可通过边界进行保护? 是。您可以配置边界以保护此服务。
服务地址 composer.googleapis.com
详细信息 配置 Composer 以便与 VPC Service Controls 配合使用

如需详细了解 Cloud Composer,请参阅产品文档

限制
  • 启用 DAG 序列化可防止 Airflow 在网页界面中显示包含函数的渲染模板。

  • 启用 DAG 序列化时,不支持将 async_dagbag_loader 标志设置为 True

  • 启用 DAG 序列化会停用所有 Airflow Web 服务器插件,因为这些插件可能会影响部署 Cloud Composer 所在 VPC 网络的安全性。这不会影响调度器或工作器插件(包括 Airflow 运算符和传感器)的行为。

  • 当 Cloud Composer 在边界内运行时,对公共 PyPI 代码库的访问权限会受到限制。请参阅 Cloud Composer 文档中的安装 Python 依赖项,了解如何在专用 IP 地址模式下安装 PyPi 模块。

Cloud Spanner

状态 正式版。VPC Service Controls 全面支持此产品集成。
可通过边界进行保护? 是。您可以配置边界以保护此服务。
服务地址 spanner.googleapis.com
详情

Cloud Spanner 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

如需详细了解 Cloud Spanner,请参阅产品文档

限制

Cloud Spanner 与 VPC Service Controls 的集成没有任何已知的限制。

Cloud Storage

状态 正式版。VPC Service Controls 全面支持此产品集成。
可通过边界进行保护? 是。您可以配置边界以保护此服务。
服务地址 storage.googleapis.com
详情

Cloud Storage 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

如需详细了解 Cloud Storage,请参阅产品文档

限制
  • 请求者付款功能与用于保护 Cloud Storage 服务的服务边界内的存储分区结合使用时,您无法确定在该边界外的待付款项目。目标项目必须与存储分区位于同一个边界内,或者在存储分区项目所属的边界网桥中。

    如需详细了解请求者付款功能,请参阅请求者付款功能的使用和访问要求

  • 对于服务边界内的项目,如果 Cloud Storage API 受到该边界的保护,则无法访问 Cloud Console 中的 Cloud Storage 页面。如果您想授予对该页面的访问权限,则必须创建一个访问权限级别(其中包含您要允许访问 Cloud Storage API 的用户帐号或公共 IP 地址范围)。

  • 在审核日志记录中,resourceName 字段不标识拥有存储分区的项目。必须单独发现此类项目

  • 在审核日志记录中,methodName 的值并非始终正确。建议您不要按 methodName 过滤 Cloud Storage 审核日志记录。

  • 在某些情况下,即使访问被拒,Cloud Storage 旧版存储分区日志也可写入到服务边界外的目标位置。

  • 当您尝试在新项目中首次使用 gsutil 时,系统可能会提示您启用 storage-api.googleapis.com 服务。虽然您无法直接保护 storage-api.googleapis.com,但使用服务边界保护 Cloud Storage API 时,gsutil 操作也会受到保护。

Cloud SQL

状态 正式版。VPC Service Controls 全面支持此产品集成。
可通过边界进行保护? 是。您可以配置边界以保护此服务。
服务地址 sqladmin.googleapis.com
详情

VPC Service Controls 边界可保护 Cloud SQL Admin API。

如需详细了解 Cloud SQL,请参阅产品文档

限制

  • 服务边界仅会保护 Cloud SQL Admin API,而不会保护对 Cloud SQL 实例的基于 IP 的数据访问。您需要使用组织政策限制条件来限制公共 IP 地址对 Cloud SQL 实例的访问权限。

  • Cloud SQL 导入和导出只能从 Cloud SQL 副本实例所在服务边界内的 Cloud Storage 存储分区执行读写操作。在外部服务器迁移流程中,您需要将 Cloud Storage 存储分区添加到同一个服务边界。在为 CMEK 创建密钥流时,您需要在使用该密钥的资源所在的服务边界内创建密钥。注意:从备份恢复实例时,目标实例必须与备份位于同一服务边界内。

Video Intelligence API

状态 正式版。VPC Service Controls 全面支持此产品集成。
可通过边界进行保护? 是。您可以配置边界以保护此服务。
服务地址 videointelligence.googleapis.com
详情

用于 Video Intelligence API 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

如需详细了解 Video Intelligence API,请参阅产品文档

限制

Video Intelligence API 与 VPC Service Controls 的集成没有任何已知的限制。

Cloud Vision API

状态 正式版。VPC Service Controls 全面支持此产品集成。
可通过边界进行保护? 是。您可以配置边界以保护此服务。
服务地址 vision.googleapis.com
详情

用于 Cloud Vision API 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

如需详细了解 Cloud Vision API,请参阅产品文档

限制

Cloud Vision API 与 VPC Service Controls 的集成没有任何已知的限制。

Container Analysis

状态 正式版。VPC Service Controls 全面支持此产品集成。
可通过边界进行保护? 是。您可以配置边界以保护此服务。
服务地址 containeranalysis.googleapis.com
详情

如需将 Container Analysis 和 VPC Service Controls 搭配使用,您可能需要将其他服务添加到您的 VPC 边界:

由于 Container Scanning API 是一种无状态 API,用于将结果存储在 Container Analysis 中,因此您不需要使用服务边界来保护 API。

如需详细了解 Container Analysis,请参阅产品文档

限制

Container Analysis 与 VPC Service Controls 的集成没有任何已知的限制。

Container Registry

状态 正式版。VPC Service Controls 全面支持此产品集成。
可通过边界进行保护? 是。您可以配置边界以保护此服务。
服务地址 containerregistry.googleapis.com
详情

除了保护 Container Registry API 之外,您还可以在 GKE 和 Compute Engine 的服务边界内使用 Container Registry。

如需详细了解 Container Registry,请参阅产品文档

限制

  • 由于不使用 googleapis.com 网域,Container Registry 必须通过专用 DNS 或 BIND 进行配置,以便从其他 API 单独映射到受限 VIP 地址。如需了解详情,请参阅在服务边界内保护 Container Registry

  • 除了边界内可用于 Container Registry 的容器外,以下 Google 托管的只读代码库也可用于所有项目(无论这些项目位于什么服务边界):

    • gcr.io/asci-toolchain
    • gcr.io/cloud-airflow-releaser
    • gcr.io/cloud-builders
    • gcr.io/cloud-dataflow
    • gcr.io/cloud-marketplace
    • gcr.io/cloud-ssa
    • gcr.io/cloudsql-docker
    • gcr.io/config-management-release
    • gcr.io/foundry-dev
    • gcr.io/fn-img
    • gcr.io/gke-node-images
    • gcr.io/gke-release
    • gcr.io/google-containers
    • gcr.io/kubeflow
    • gcr.io/kubeflow-images-public
    • gcr.io/kubernetes-helm
    • gcr.io/istio-release
    • gcr.io/ml-pipeline
    • gcr.io/projectcalico-org
    • gcr.io/rbe-containers
    • gcr.io/rbe-windows-test-images
    • gcr.io/speckle-umbrella
    • gcr.io/stackdriver-agents
    • gcr.io/tensorflow
    • gke.gcr.io
    • k8s.gcr.io
    • mirror.gcr.io

    在所有情况下,这些代码库的区域级版本也可用。

Google Kubernetes Engine

状态 正式版。VPC Service Controls 全面支持此产品集成。
可通过边界进行保护? 是。您可以配置边界以保护此服务。
服务地址 container.googleapis.com,
gkeconnect.googleapis.com,
gkehub.googleapis.com
详情

Google Kubernetes Engine 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

如需详细了解 Google Kubernetes Engine,请参阅产品文档

限制

  • 只有专用集群可以使用 VPC Service Controls 进行保护。VPC Service Controls 不支持使用公共 IP 地址的集群。

Resource Manager

状态 Beta 版。此项产品集成已为更广泛的测试和使用做好准备,但尚未完全支持生产环境。
可通过边界进行保护? 是。您可以配置边界以保护此服务。
服务地址 cloudresourcemanager.googleapis.com
详情

Resource Manager 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

如需详细了解 Resource Manager,请参阅产品文档

限制

Cloud Logging

状态 正式版。VPC Service Controls 全面支持此产品集成。
可通过边界进行保护? 是。您可以配置边界以保护此服务。
服务地址 logging.googleapis.com
详情

由于 VPC Service Controls 不支持文件夹和组织资源,因此文件夹级和组织级日志不受 VPC Service Controls 的保护。如需了解详情,请参阅已知服务限制。

如需详细了解 Cloud Logging,请参阅产品文档

限制
  • 聚合导出接收器(文件夹或组织接收器,其中 includeChildrentrue)可以访问服务边界内的项目中的数据。我们建议使用 IAM 在文件夹级和组织级管理 Logging 权限。

  • 由于 VPC Service Controls 目前不支持文件夹和组织资源,因此文件夹级和组织级日志(包括聚合日志)的日志导出不支持服务边界。建议使用 IAM 来限制此类指向需要与受边界保护的服务交互的服务帐号的导出。

  • 如需设置将组织或文件夹日志导出到受服务边界保护的资源,您必须将该日志接收器的服务帐号添加到一个访问权限级别,然后将该访问权限级别分配给目标位置服务边界。项目级日志导出不必执行此步骤。

    如需了解详情,请参阅以下页面:

Cloud Monitoring

状态 正式版。VPC Service Controls 全面支持此产品集成。
可通过边界进行保护? 是。您可以配置边界以保护此服务。
服务地址 monitoring.googleapis.com
详情

Cloud Monitoring 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

如需详细了解 Cloud Monitoring,请参阅产品文档

限制
  • 通知渠道、提醒政策和自定义指标相互结合在一起,可以形成数据/元数据的渗漏攻击途径。即日起,Monitoring 用户可以设置指向组织外实体(例如“baduser@badcompany.com”)的通知渠道。然后,用户会设置利用通知渠道的自定义指标和相应的提醒政策。因此,通过操纵自定义指标,用户可以在 VPC Service Controls 边界之外触发提醒和发送提醒,从而触发通知并向 baduser@badcompany.com 渗漏敏感数据。

  • 虽然 Google Cloud Console 中的 Monitoring 支持 VPC Service Controls,但传统版 Cloud Monitoring 控制台的 VPC Service Controls 并不完全受支持。

  • 任何安装了 Monitoring 代理的 Compute Engine 或 AWS 虚拟机都必须位于 VPC Service Controls 边界内,否则代理指标写入将失败。

  • 任何 GKE pod 都必须位于 VPC Service Controls 边界内,否则 GKE 监控将无法运行。

  • 查询工作区的指标时,系统将仅考虑工作区的宿主项目的 VPC Service Controls 边界,而不考虑工作区中个别受监控项目的边界。

  • 只有当某项目与现有工作区的宿主项目在同一 VPC Service Controls 边界内时,该项目才能作为受监控项目添加到该工作区。

  • 如需针对受服务边界保护的宿主项目在 Cloud Console 中访问 Monitoring,请使用访问权限级别

Cloud Profiler

状态 正式版。VPC Service Controls 全面支持此产品集成。
可通过边界进行保护? 是。您可以配置边界以保护此服务。
服务地址 cloudprofiler.googleapis.com
详情

Cloud Profiler 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

如需详细了解 Cloud Profiler,请参阅产品文档

限制

Cloud Profiler 与 VPC Service Controls 的集成没有任何已知的限制。

Cloud Trace

状态 正式版。VPC Service Controls 全面支持此产品集成。
可通过边界进行保护? 是。您可以配置边界以保护此服务。
服务地址 cloudtrace.googleapis.com
详情

Cloud Trace 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

如需详细了解 Cloud Trace,请参阅产品文档

限制

Cloud Trace 与 VPC Service Controls 的集成没有任何已知的限制。

Cloud TPU

状态 正式版。VPC Service Controls 全面支持此产品集成。
可通过边界进行保护? 是。您可以配置边界以保护此服务。
服务地址 tpu.googleapis.com
详情

Cloud TPU 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

如需详细了解 Cloud TPU,请参阅产品文档

限制

Cloud TPU 与 VPC Service Controls 的集成没有任何已知的限制。

Natural Language API

状态 正式版。VPC Service Controls 全面支持此产品集成。
可通过边界进行保护? 是。您可以配置边界以保护此服务。
服务地址 language.googleapis.com
详情

用于 Natural Language API 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

如需详细了解 Natural Language API,请参阅产品文档

限制

Natural Language API 与 VPC Service Controls 的集成没有任何已知的限制。

Cloud Asset API

状态 正式版。VPC Service Controls 全面支持此产品集成。
可通过边界进行保护? 是。您可以配置边界以保护此服务。
服务地址 cloudasset.googleapis.com
详情

由于 VPC Service Controls 不支持文件夹和组织资源,因此在文件夹级或组织级通过 Cloud Asset API 对资产进行的访问不受 VPC Service Controls 的保护。如需了解详情,请参阅已知服务限制。

如需详细了解 Cloud Asset API,请参阅产品文档

限制

  • 在文件夹级或组织级调用 Cloud Asset API 时,仍然可以访问属于文件夹或组织的服务边界内的项目中的数据。我们建议使用 IAM 管理文件夹级和组织级的 Cloud Asset Inventory 权限。

Speech-to-Text

状态 Beta 版。此项产品集成已为更广泛的测试和使用做好准备,但尚未完全支持生产环境。
可通过边界进行保护? 是。您可以配置边界以保护此服务。
服务地址 speech.googleapis.com
详情

Speech-to-Text 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

如需详细了解 Speech-to-Text,请参阅产品文档

限制

Speech-to-Text 与 VPC Service Controls 的集成没有任何已知的限制。

Text-to-Speech

状态 正式版。VPC Service Controls 全面支持此产品集成。
可通过边界进行保护? 是。您可以配置边界以保护此服务。
服务地址 texttospeech.googleapis.com
详情

Text-to-Speech 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

如需详细了解 Text-to-Speech,请参阅产品文档

限制

Text-to-Speech 与 VPC Service Controls 的集成没有任何已知的限制。

Translation

状态 正式版。VPC Service Controls 全面支持此产品集成。
可通过边界进行保护? 是。您可以配置边界以保护此服务。
服务地址 translate.googleapis.com
详情

Translation 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

如需详细了解 Translation,请参阅产品文档

限制

Translation 与 VPC Service Controls 的集成没有任何已知的限制。

Access Approval

状态 Beta 版。此项产品集成已为更广泛的测试和使用做好准备,但尚未完全支持生产环境。
可通过边界进行保护? 是。您可以配置边界以保护此服务。
服务地址 accessapproval.googleapis.com
详情

Access Approval 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

如需详细了解 Access Approval,请参阅产品文档

限制

Access Approval 与 VPC Service Controls 的集成没有任何已知的限制。

Cloud Healthcare API

状态 Beta 版。此项产品集成已为更广泛的测试和使用做好准备,但尚未完全支持生产环境。
可通过边界进行保护? 是。您可以配置边界以保护此服务。
服务地址 healthcare.googleapis.com
详情

用于 Cloud Healthcare API 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

如需详细了解 Cloud Healthcare API,请参阅产品文档

限制

Cloud Healthcare API 与 VPC Service Controls 的集成没有任何已知的限制。

Storage Transfer Service

状态 正式版。VPC Service Controls 全面支持此产品集成。
可通过边界进行保护? 是。您可以配置边界以保护此服务。
服务地址 storagetransfer.googleapis.com
详情

我们建议您将 STS 项目放在与 Cloud Storage 资源相同的服务边界内。这可以保护您的转移作业和 Cloud Storage 资源。通过使用边界网桥或访问权限级别,Storage Transfer Service 还支持 Storage Transfer Service 项目与 Cloud Storage 存储分区位于不同边界的场景。

如需了解设置情况,请参阅将 Storage Transfer Service 与 VPC Service Controls 配合使用

Transfer Service for On Premises Data

在 Beta 版期间,对于 VPC Service Controls,Transfer Service for On Premises Data(本地转移服务)仅支持转移载荷。这包括下列场景:将 Transfer for On Premises 代理添加到访问权限级别以允许它们访问边界内资源,或者 Transfer for On Premises 代理位于与目标 Cloud Storage 存储分区和 Transfer Service for On Premises Data 作业共享的边界内。

如需了解详情,请参阅将本地转移服务与 VPC Service Controls 搭配使用

文件元数据(例如对象名称)不能保证保留在边界内。如需了解详情,请参阅 VPC Service Controls 和元数据

如需详细了解 Storage Transfer Service,请参阅产品文档

限制

  • Transfer Service for On Premises Data 不提供 API,因此不支持 VPC Service Controls 中与 API 相关的功能。

Service Control

状态 正式版。VPC Service Controls 全面支持此产品集成。
可通过边界进行保护? 是。您可以配置边界以保护此服务。
服务地址 servicecontrol.googleapis.com
详情

Service Control 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

如需详细了解 Service Control,请参阅产品文档

限制

  • 从 Service Control 受限的服务边界内的 VPC 网络调用 Service Control API 时,您无法使用 Service Control 报告方法来报告结算和分析指标。

Memorystore for Redis

状态 正式版。VPC Service Controls 全面支持此产品集成。
可通过边界进行保护? 是。您可以配置边界以保护此服务。
服务地址 redis.googleapis.com
详情

Memorystore for Redis 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

如需详细了解 Memorystore for Redis,请参阅产品文档

限制

  • 服务边界仅保护 Memorystore for Redis API。边界不保护同一网络中的 Memorystore for Redis 实例上的正常数据访问。

  • 如果 Cloud Storage API 也受保护,则 Memorystore for Redis 导入和导出操作只能在与 Memorystore for Redis 实例相同的服务边界内读取和写入 Cloud Storage 存储分区。

Service Directory

状态 Beta 版。此项产品集成已为更广泛的测试和使用做好准备,但尚未完全支持生产环境。
可通过边界进行保护? 是。您可以配置边界以保护此服务。
服务地址 servicedirectory.googleapis.com
详情

Service Directory 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

如需详细了解 Service Directory,请参阅产品文档

限制

Service Directory 与 VPC Service Controls 的集成没有任何已知的限制。

Transfer Appliance

状态 Beta 版。此项产品集成已为更广泛的测试和使用做好准备,但尚未完全支持生产环境。
可通过边界进行保护? 不能。服务边界不能保护 Transfer Appliance 的 API。但是,Transfer Appliance 可在边界内的项目中正常使用。
详细信息

使用 VPC Service Controls 的项目完全支持 Transfer Appliance。

Transfer Appliance 不提供 API,因此不支持 VPC Service Controls 中与 API 相关的功能。

如需详细了解 Transfer Appliance,请参阅产品文档

限制

  • 当 Cloud Storage 受 VPC Service Controls 保护时,您与 Transfer Appliance 团队共享的 Cloud KMS 密钥必须与目标 Cloud Storage 存储分区位于同一项目中。

OS Login

状态 Beta 版。此项产品集成已为更广泛的测试和使用做好准备,但尚未完全支持生产环境。
可通过边界进行保护? 是。您可以配置边界以保护此服务。
服务地址 oslogin.googleapis.com
详细信息

您可以从 VPC Service Controls 边界内调用 OS Login API。要在 VPC Service Controls 边界内管理 OS Login,请设置 OS Login

到虚拟机实例的 SSH 连接不受 VPC Service Controls 的保护。

如需详细了解 OS Login,请参阅产品文档

限制

OS Login 与 VPC Service Controls 的集成没有任何已知的限制。

VM 管理器

状态 Beta 版。此项产品集成已为更广泛的测试和使用做好准备,但尚未完全支持生产环境。
可通过边界进行保护? 是。您可以配置边界以保护此服务。
服务地址 osconfig.googleapis.com
详细信息

您可以从 VPC Service Controls 边界内调用 OS Config API。如需在 VPC Service Controls 边界内使用 VM 管理器,请设置 VM 管理器

如需详细了解 VM 管理器,请参阅产品文档

限制

VM 管理器与 VPC Service Controls 的集成没有任何已知的限制。

如需了解详情,请参阅支持的服务和不支持的服务

受限 VIP 地址支持的服务

受限虚拟 IP (VIP) 地址为服务边界内的虚拟机提供了一种方法来调用 Google Cloud 服务,而无需将请求公开给互联网。如需查看受限 VIP 上可用服务的完整列表,请参阅受限 VIP 支持的服务

不支持的服务

尝试使用 gcloud 命令行工具或 Access Context Manager API 限制不支持的服务会导致错误。

VPC Service Controls 将阻止跨项目访问支持的服务的数据。此外,受限 VIP 可用于阻止工作负载调用不支持的服务。

其他已知限制

本部分介绍了在使用 VPC Service Controls 时可能遇到的某些 Google Cloud 服务、产品和界面的已知限制。

如需了解 VPC Service Controls 支持的产品的限制,请参阅“支持的产品”表

如需详细了解如何解决 VPC Service Controls 相关问题,请参阅问题排查页面。

AutoML API

  • AutoML Vision、AutoML Natural Language、AutoML Translation、AutoML Tables 和 AutoML Video Intelligence 均使用 AutoML API。

    在您使用服务边界保护 automl.googleapis.com 时,对于与 VPC Service Controls 集成且在边界内使用的所有 AutoML 产品的访问都会受到影响。您必须为在该边界内使用的所有集成式 AutoML 产品配置 VPC Service Controls 边界。

    如需全面保护 AutoML API,请将以下所有 API 包含到您的边界中:

    • AutoML API (automl.googleapis.com)
    • Cloud Storage API (storage.googleapis.com)
    • Compute Engine API (compute.googleapis.com)
    • BigQuery API (bigquery.googleapis.com)

App Engine

  • VPC Service Controls 不支持 App Engine(标准环境和柔性环境)。请勿在服务边界内包含 App Engine 项目。

    但是,您可以允许在服务边界外的项目中创建的 App Engine 应用对边界内的受保护服务进行数据读写操作。如需允许您的应用访问受保护服务的数据,请创建一个访问权限级别(其中包含相应项目的 App Engine 服务帐号)。这不会允许在服务边界内使用 App Engine。

客户端库

  • 使用受限 VIP 进行的访问对所有受支持服务的 Java 和 Python 客户端库完全支持。对其他语言的支持仍处于 Alpha 版阶段,因此应仅用于测试目的。

  • 客户端必须使用 2018 年 11 月 1 日或之后更新的客户端库。

  • 客户端必须使用 2018 年 11 月 1 日或之后更新的服务帐号密钥或 OAuth2 客户端元数据。使用令牌端点的较旧客户端必须更改为较新密钥材料/客户端元数据中指定的端点。

Cloud Billing

Cloud Build

  • 只有受限用户可以在 VPC Service Controls 边界内使用 Cloud Build。

    此外,您可以允许 Cloud Build 在服务边界外的项目中对边界内的受保护服务进行数据读写操作。如需允许 Cloud Build 访问受保护服务的数据,请创建一个访问权限级别(其中包含相应项目 Cloud Build 服务帐号)。这不会允许在服务边界内使用 Cloud Build。

Cloud Deployment Manager

  • VPC Service Controls 不支持 Deployment Manager。用户可以调用与 VPC Service Controls 兼容的服务,但不应依赖此操作,因为将来可能会出现故障。

  • 如需解决此问题,您可以将 Deployment Manager 服务帐号 (PROJECT_NUMBER@cloudservices.gserviceaccount.com) 添加到访问权限级别,以允许调用 VPC Service Controls 保护的 API。

Cloud Shell

  • 不支持 Cloud Shell。系统会将其视为位于服务边界外,并拒绝其访问受 VPC Service Controls 保护的数据。

Google Cloud Console

  • 由于 Cloud Console 只能通过互联网访问,因此会被视为在服务边界外。当您应用服务边界时,您保护的服务的 Cloud Console 界面可能会变得部分无法访问或完全无法访问。例如,如果您使用边界来保护 Logging,则将无法访问 Cloud Console 中的 Logging 界面。

    如需允许从 Cloud Console 访问受边界保护的资源,您需要为公共 IP 范围创建一个访问权限级别(其中包含要将 Cloud Console 和受保护 API 配合使用的用户的机器)。例如,您可以将专用网络的 NAT 网关的公共 IP 范围添加到访问权限级别,然后将该访问权限级别分配给服务边界。

    如果您想要只允许一组特定用户从 Cloud Console 访问边界,还可以将这些用户添加到访问权限级别。在这种情况下,只有指定的用户才能访问 Cloud Console。