O VPC Service Controls é um Google Cloud recurso que permite configurar um perímetro de serviço que cria um limite de transferência de dados em torno dos Google Cloud recursos. O VPC Service Controls oferece mais segurança para os recursos do App Hub, como a redução do risco de exfiltração de dados. Ao usar o VPC Service Controls, é possível adicionar projetos a perímetros de serviço. Isso protege aplicativos, serviços e cargas de trabalho contra solicitações que vêm de fora desses perímetros.
Os recursos do App Hub são expostos na API apphub.googleapis.com, que permite realizar operações, como a criação e exclusão de aplicativos, serviços e cargas de trabalho. É possível configurar o VPC Service Controls com o App Hub restringindo a conectividade a essa superfície de API.
Recomendamos que você proteja todos os recursos do App Hub ao criar um perímetro de serviço.
O App Hub é compatível com os seguintes tipos de recursos:
- Aplicativo
- Serviço descoberto
- Carga de trabalho descoberta
- Serviço
- Anexação de projeto de serviço (somente para aplicativos gerenciados por um projeto host)
- Carga de trabalho
Aplicativos em um projeto de gerenciamento
Quando você ativa a API App Hub para um limite de projeto único ou de pasta limite, o sistema ativa as APIs necessárias para o gerenciamento de aplicativos no projeto de gerenciamento.
Depois que o projeto de gerenciamento for criado, também será possível ativar as APIs recomendadas que oferecem mais recursos centrados no aplicativo.
Para incluir o projeto de gerenciamento em um perímetro de serviço, crie ou atualize o perímetro para que o projeto de gerenciamento e as APIs ativadas sejam incluídos no perímetro.
Para aplicativos em um limite de pasta, as restrições do VPC Service Controls se aplicam apenas às interações do App Hub no projeto de gerenciamento. O App Hub pode ler dados de aplicativos e descobrir serviços e cargas de trabalho para todos os projetos descendentes da pasta habilitada para apps, mesmo que esses projetos não estejam no mesmo perímetro que o projeto de gerenciamento.
Para saber quais APIs são necessárias e recomendadas, consulte APIs necessárias e recomendadas.
Aplicativos gerenciados por um projeto host
Para projetos host legados, só é possível anexar um projeto de serviço se o projeto host e o projeto de serviço estiverem no mesmo perímetro. Se você mover um projeto de serviço anexado anteriormente para fora do perímetro, os recursos do projeto de serviço vão permanecer acessíveis até que você o desanexe do projeto host.
A seguir
Para saber mais sobre o VPC Service Controls, consulte a visão geral e os produtos e limitações com suporte.
Além disso, consulte as Práticas recomendadas para ativar o VPC Service Controls.
Consulte também as práticas recomendadas para Projetar e criar a arquitetura de perímetros de serviço.
Para configurar um perímetro de serviço, consulte Criar um perímetro de serviço.