VPC Service Controls est une fonctionnalité Google Cloud qui vous permet de configurer un périmètre de service créant une limite de transfert de données autour des ressourcesGoogle Cloud . VPC Service Controls offre une sécurité renforcée pour vos ressources App Hub, par exemple en réduisant le risque d'exfiltration de données. VPC Service Controls vous permet d'ajouter des projets aux périmètres de service afin de protéger les applications, les services et les charges de travail des requêtes provenant de l'extérieur du périmètre.
Les ressources App Hub sont exposées sur l'API apphub.googleapis.com, ce qui vous permet d'effectuer des opérations, telles que la création et la suppression d'applications, de services et de charges de travail. Vous pouvez configurer VPC Service Controls avec App Hub en limitant la connectivité à cette surface d'API.
Nous vous recommandons de protéger toutes les ressources App Hub lorsque vous créez un périmètre de service.
App Hub est compatible avec les types de ressources suivants :
- Application
- Service découvert
- Charge de travail découverte
- Service
- Rattachement de projet de service (uniquement pour les applications gérées par un projet hôte)
- Charge de travail
Applications dans un projet de gestion
Lorsque vous activez l'API App Hub pour une limite au niveau d'un projet ou d'un dossier, le système active les API requises pour la gestion des applications dans le projet de gestion.
Une fois le projet de gestion créé, vous pouvez également activer les API recommandées qui fournissent des fonctionnalités plus axées sur les applications.
Pour inclure le projet de gestion dans un périmètre de service, créez ou mettez à jour votre périmètre de service afin que le projet de gestion et les API activées soient inclus dans le périmètre.
Pour les applications dans une limite de dossier, les restrictions VPC Service Controls ne s'appliquent qu'aux interactions App Hub dans le projet de gestion. App Hub peut lire les données d'application et découvrir les services et les charges de travail pour tous les projets descendants du dossier compatible avec les applications, même si ces projets ne se trouvent pas dans le même périmètre que le projet de gestion.
Pour savoir quelles API sont requises et recommandées, consultez API requises et recommandées.
Applications gérées par un projet hôte
Pour les anciens projets hôtes, vous ne pouvez associer un projet de service que si le projet hôte et le projet de service se trouvent dans le même périmètre. Si vous déplacez un projet de service précédemment associé en dehors du périmètre, les ressources du projet de service restent accessibles jusqu'à ce que vous dissociiez le projet de service du projet hôte.
Étapes suivantes
Pour en savoir plus sur VPC Service Controls, consultez la présentation et les produits compatibles et limitations.
Pour obtenir des conseils sur l'activation de VPC Service Controls, consultez la section Bonnes pratiques pour activer VPC Service Controls.
Pour connaître les bonnes pratiques de conception des périmètres de service, consultez la page Concevoir et concevoir des périmètres de service.
Pour configurer un périmètre de service, consultez la page Créer un périmètre de service.