I Controlli di servizio VPC sono una funzionalità Google Cloud che ti consente di configurare un perimetro di servizio che crea un limite di trasferimento dei dati intorno alle risorseGoogle Cloud . I Controlli di servizio VPC offrono maggiore sicurezza per le risorse di App Hub, ad esempio mitigando il rischio di esfiltrazione di dati. Utilizzando i Controlli di servizio VPC, puoi aggiungere progetti ai perimetri di servizio che proteggono applicazioni, servizi e carichi di lavoro da richieste che attraversano il perimetro.
Le risorse App Hub sono esposte nell'API
apphub.googleapis.com, che consente di eseguire
operazioni come la creazione e l'eliminazione di applicazioni, servizi e
carichi di lavoro. Puoi configurare i Controlli di servizio VPC con App Hub
limitando la connettività a questa superficie API.
Ti consigliamo di proteggere tutte le risorse di App Hub quando crei un perimetro di servizio.
App Hub supporta i seguenti tipi di risorse:
- Applicazione
- Servizio rilevato
- Workload rilevato
- Servizio
- Allegato di un progetto di servizio (solo per le applicazioni gestite da un progetto host)
- Workload
Applicazioni in un progetto di gestione
Quando abiliti l'API App Hub per un confine a livello di singolo progetto o cartella, il sistema abilita le API richieste per la gestione delle applicazioni nel progetto di gestione.
Dopo aver creato il progetto di gestione, puoi anche abilitare le API consigliate che forniscono funzionalità più incentrate sulle applicazioni.
Per includere il progetto di gestione in un perimetro di servizio, crea o aggiorna il perimetro di servizio in modo che il progetto di gestione e le API abilitate siano inclusi nel perimetro.
Per le applicazioni in un confine della cartella, le limitazioni dei Controlli di servizio VPC si applicano solo alle interazioni di App Hub nel progetto di gestione. App Hub può leggere i dati delle applicazioni e rilevare servizi e workload per tutti i progetti discendenti della cartella app, anche se questi progetti non si trovano nello stesso perimetro del progetto di gestione.
Per scoprire quali API sono obbligatorie e consigliate, consulta la sezione API obbligatorie e consigliate.
Applicazioni gestite da un progetto host
Per i progetti host legacy, puoi collegare un progetto di servizio solo se il progetto host e il progetto di servizio si trovano nello stesso perimetro. Se sposti un progetto di servizio collegato in precedenza al di fuori del perimetro, le risorse del progetto di servizio rimangono accessibili finché non lo scolleghi dal progetto host.
Passaggi successivi
Per saperne di più sui Controlli di servizio VPC, consulta la panoramica e i prodotti supportati e le limitazioni.
Per le best practice per l'abilitazione dei Controlli di servizio VPC, consulta Best practice per l'abilitazione dei Controlli di servizio VPC.
Per le best practice per la progettazione dei perimetri di servizio, consulta Progetta e definisci l'architettura dei perimetri di servizio.
Per configurare un perimetro di servizio, consulta Creare un perimetro di servizio.