O VPC Service Controls é uma Google Cloud funcionalidade que lhe permite configurar um perímetro de serviço que cria um limite de transferência de dados em torno dos Google Cloud recursos. O VPC Service Controls oferece mais segurança para os seus recursos do App Hub, como a mitigação do risco de exfiltração de dados. Com os VPC Service Controls, pode adicionar projetos a perímetros de serviço que protegem aplicações, serviços e cargas de trabalho de pedidos que atravessam o perímetro.
Os recursos do App Hub são expostos na API
apphub.googleapis.com, que lhe permite realizar
operações, como a criação e a eliminação de aplicações, serviços e
cargas de trabalho. Pode configurar os VPC Service Controls com o App Hub
restringindo a conetividade a esta superfície da API.
Recomendamos que proteja todos os recursos do App Hub quando criar um perímetro de serviço.
O App Hub suporta os seguintes tipos de recursos:
- Aplicação
- Serviço descoberto
- Carga de trabalho descoberta
- Serviço
- Associação do projeto de serviço (apenas para aplicações geridas por um projeto anfitrião)
- Carga de trabalho
Aplicações numa pasta com apps
Quando ativa a gestão de aplicações numa pasta, ocorrem as seguintes ações:
- A Google cria um projeto gerido pela Google na pasta denominado projeto de gestão.
- O sistema ativa as APIs necessárias para a gestão de aplicações nesse projeto. Algumas APIs que o sistema ativa estão diretamente relacionadas com a gestão de aplicações. As restantes APIs são dependências.
Se quiser incluir o projeto de gestão num perímetro de serviço, inclua as APIs ativadas que suportam o VPC Service Controls. Para mais informações, consulte o artigo Crie um perímetro de serviço.
APIs ativadas num projeto de gestão
As tabelas seguintes indicam as APIs que são ativadas automaticamente para um projeto de gestão. Se um produto suportar os VPC Service Controls, reveja a documentação associada para obter mais informações, como limitações ou requisitos de configuração adicionais.
APIs envolvidas na conceção, criação e implementação de aplicações
As APIs nesta tabela incluem o App Hub, o Application Design Center e as dependências usadas para criar aplicações, implementar aplicações e armazenar dados de aplicações.
O Resource Manager é necessário para ativar e gerir pastas com apps.
| API | Suporte dos VPC Service Controls |
|---|---|
API App Hub (apphub.googleapis.com) |
Detalhes |
API App Design Center (designcenter.googleapis.com) |
|
API Artifact Registry (artifactregistry.googleapis.com) |
Detalhes |
API Cloud Asset (cloudasset.googleapis.com) |
Detalhes |
API Cloud Build (cloudbuild.googleapis.com) |
Detalhes |
API Cloud Resource Manager (cloudresourcemanager.googleapis.com) |
Detalhes |
API Infrastructure Manager (config.googleapis.com) |
Detalhes |
API Container Registry (containerregistry.googleapis.com) |
Detalhes |
API Identity and Access Management (iam.googleapis.com) |
Detalhes |
API IAM Service Account Credentials (iamcredentials.googleapis.com) |
Detalhes |
APIs Google Cloud Observability
| API | Suporte dos VPC Service Controls |
|---|---|
Cloud Logging (logging.googleapis.com) |
Detalhes |
Cloud Monitoring (monitoring.googleapis.com) |
Detalhes |
Cloud Trace (cloudtrace.googleapis.com) |
Detalhes |
Dependências do Google Cloud Observability
Algumas funcionalidades do Logging e do Cloud Monitoring requerem outras APIs de produtos.
A API Dataform e a API Dataplex são dependências do BigQuery.
| API | Suporte dos VPC Service Controls |
|---|---|
API BigQuery (bigquery.googleapis.com) |
Detalhes |
API Analytics Hub (analyticshub.googleapis.com) (API para partilha do BigQuery) |
Detalhes |
API BigQuery Connection (bigqueryconnection.googleapis.com) |
Detalhes |
API BigQuery Data Policy (bigquerydatapolicy.googleapis.com) |
Detalhes |
API BigQuery Migration (bigquerymigration.googleapis.com) |
Detalhes |
API BigQuery Reservation (bigqueryreservation.googleapis.com) |
Detalhes |
API BigQuery Storage (bigquerystorage.googleapis.com) |
Detalhes |
API Dataform (dataform.googleapis.com) |
Detalhes |
API Dataplex (dataplex.googleapis.com) |
Detalhes |
Cloud Functions API (cloudfunctions.googleapis.com) |
Detalhes |
API Cloud Storage (storage.googleapis.com) |
Detalhes |
Cloud Storage (storage-api.googleapis.com) |
|
API JSON do Cloud Storage (storage-component.googleapis.com) |
|
API Pub/Sub (pubsub.googleapis.com) |
Detalhes |
APIs que fornecem dados de recursos sobre recursos
| API | Suporte dos VPC Service Controls |
|---|---|
API Cloud Quotas (cloudquotas.googleapis.com) |
Detalhes |
API Service Health (servicehealth.googleapis.com) |
Detalhes |
Gemini Cloud Assist
| API | Suporte dos VPC Service Controls |
|---|---|
API Gemini para o Google Cloud (cloudaicompanion.googleapis.com) |
Detalhes |
Aplicações geridas por um projeto anfitrião
Tem de configurar o VPC Service Controls nos projetos de serviço e de anfitrião do App Hub antes de criar uma aplicação e registar serviços e cargas de trabalho na aplicação. Para mais informações, consulte o artigo Crie um perímetro de serviço.
O que se segue?
Para saber mais acerca do VPC Service Controls, consulte a vista geral e os produtos suportados e as limitações.
Para ver as práticas recomendadas para ativar o VPC Service Controls, consulte o artigo Práticas recomendadas para ativar o VPC Service Controls.
Para ver práticas recomendadas para conceber perímetros de serviço, consulte o artigo Conceba e crie a arquitetura de perímetros de serviço.
Para configurar um perímetro de serviço, consulte o artigo Crie um perímetro de serviço.