VPC Service Controls ist ein Google Cloud Feature, mit dem Sie einen Dienstperimeter einrichten können, der eine Datenübertragungsgrenze um Google Cloud Ressourcen erstellt. VPC Service Controls bietet mehr Sicherheit für Ihre App Hub-Ressourcen, z. B. durch die Verringerung des Risikos einer Daten-Exfiltration. Mithilfe von VPC Service Controls können Sie Projekte in Dienstperimeter einfügen, die Anwendungen, Dienste und Arbeitslasten vor Anfragen schützen, die den Perimeter überschreiten.
App Hub-Ressourcen werden über die apphub.googleapis.com API bereitgestellt, mit der Sie Vorgänge wie das Erstellen und Löschen von Anwendungen, Diensten und Arbeitslasten ausführen können. Sie können VPC Service Controls mit App Hub einrichten, indem Sie die Verbindung auf diese API-Oberfläche beschränken.
Wir empfehlen, beim Erstellen eines Dienstperimeters alle App Hub-Ressourcen zu schützen.
App Hub unterstützt die folgenden Ressourcentypen:
- Anwendung
- Erkannter Dienst
- Erkannte Arbeitslast
- Dienst
- Anhang für Dienstprojekt (nur für Anwendungen, die von einem Hostprojekt verwaltet werden)
- Arbeitslast
Anwendungen in einem Verwaltungsprojekt
Wenn Sie die App Hub API für einen einzelnen Projekt- oder Ordnerebene Perimeter aktivieren, aktiviert das System die erforderlichen APIs für die Anwendungsverwaltung im Verwaltungsprojekt.
Nachdem das Verwaltungsprojekt erstellt wurde, können Sie auch empfohlene APIs aktivieren, die weitere anwendungsorientierte Funktionen bieten.
Wenn Sie das Verwaltungsprojekt in einen Dienstperimeter einbeziehen möchten, erstellen oder aktualisieren Sie den Dienstperimeter so dass das Verwaltungsprojekt und die aktivierten APIs im Perimeter enthalten sind.
Bei Anwendungen in einem Ordnerperimeter, gelten die VPC Service Controls-Einschränkungen nur für App Hub Interaktionen im Verwaltungsprojekt. App Hub kann Anwendungsdaten lesen und Dienste und Arbeitslasten für alle untergeordneten Projekte des Ordners mit aktivierter App-Funktion ermitteln, auch wenn sich diese Projekte nicht im selben Perimeter wie das Verwaltungsprojekt befinden.
Informationen zu den erforderlichen und empfohlenen APIs finden Sie unter Erforderliche und empfohlene APIs.
Anwendungen, die von einem Hostprojekt verwaltet werden
Bei älteren Hostprojekten können Sie nur dann ein Dienstprojekt anhängen, wenn sich das Hostprojekt und das Dienstprojekt im selben Perimeter befinden. Wenn Sie ein zuvor angehängtes Dienstprojekt außerhalb des Perimeters verschieben, bleiben die Ressourcen des Dienstprojekts zugänglich, bis Sie das Dienstprojekt vom Hostprojekt trennen.
Nächste Schritte
Weitere Informationen zu VPC Service Controls finden Sie in der Übersicht und unter Unterstützte Produkte und Einschränkungen.
Best Practices zum Aktivieren von VPC Service Controls finden Sie unter Best Practices zum Aktivieren von VPC Service Controls.
Best Practices für das Erstellen von Dienstperimetern finden Sie unter Dienstperimeter entwerfen.
Informationen zum Einrichten eines Dienstperimeters finden Sie unter Dienstperimeter erstellen.