VPC Service Controls 是一项 Google Cloud 功能,可让您设置服务边界,从而在Google Cloud 资源周围创建数据传输边界。VPC Service Controls 可为您的 App Hub 资源提供更高的安全性,例如降低数据渗漏的风险。使用 VPC Service Controls,您可以将项目添加到服务边界,从而防止应用、服务和工作负载受到跨边界的请求的影响。
App Hub 资源会显示在 apphub.googleapis.com API 上,该 API 可让您执行各种操作,例如创建和删除应用、服务和工作负载。您可以通过限制与此 API 表面的连接来设置 VPC Service Controls 和 App Hub。
我们建议您在创建服务边界时保护所有 App Hub 资源。
App Hub 支持以下资源类型:
- 应用
- 发现的服务
- 发现的工作负载
- 服务
- 服务项目关联(仅适用于由宿主项目管理的应用)
- 工作负载
已启用应用的文件夹中的应用
当您设置文件夹级边界时,系统会执行以下操作:
- 文件夹中的 Google Cloud 项目配置为管理项目。
- 系统会为该项目启用应用管理所需的 API。
创建管理项目后,您还可以启用推荐的 API,以提供更多以应用为中心的功能。
如需将管理项目纳入服务边界,请创建或更新服务边界,以便将管理项目和已启用的 API 纳入边界。
如需了解哪些 API 是必需的,哪些是推荐的,请参阅必需的 API 和推荐的 API。
由宿主项目管理的应用
您必须先在宿主项目和服务项目中设置 VPC Service Controls,然后才能创建应用并将服务和工作负载注册到该应用。如需了解详情,请参阅创建服务边界。
后续步骤
如需了解启用 VPC Service Controls 的最佳做法,请参阅启用 VPC Service Controls 的最佳做法。
如需了解设计服务边界的最佳做法,请参阅设计和构建服务边界。
如需设置服务边界,请参阅创建服务边界。