VPC Service Controls 是一项 Google Cloud 功能,可让您设置 服务边界,从而在 Google Cloud 资源周围创建数据传输边界。VPC Service Controls 可为您的 App Hub 资源提供更高的安全性,例如降低数据渗漏的风险。使用 VPC Service Controls,您可以将项目添加到服务边界,从而防止应用、服务和工作负载受到跨边界的请求的影响。
App Hub 资源会显示在 apphub.googleapis.com API 上,该 API
可让您执行操作,例如创建和删除应用、服务和工作负载。您可以通过限制与此 API 表面的连接来设置 VPC Service Controls 和
App Hub。
我们建议您在创建服务边界时保护所有 App Hub 资源。
App Hub 支持以下资源类型:
- 应用
- 发现的服务
- 发现的工作负载
- 服务
- 服务项目关联(仅适用于通过宿主项目管理的应用)
- 工作负载
管理项目中的应用
当您为单项目或文件夹级 边界启用 App Hub API 时,系统会在 管理项目中启用应用管理所需的 API 。
创建管理项目后,您还可以启用推荐的 API,这些 API 可提供更多以应用为中心的功能。
如需将管理项目纳入服务边界, 请创建或更新服务边界, 以便将管理项目和已启用的 API 纳入 边界。
对于 文件夹边界 中的应用, VPC Service Controls 限制仅适用于管理项目中的 App Hub 互动。App Hub 可以读取应用数据,并发现已启用应用的文件夹的所有后代项目的服务和工作负载,即使这些项目与管理项目不在同一边界中也是如此。
如需了解哪些 API 是必需的,哪些是推荐的,请参阅 必需的 API 和推荐的 API。
通过宿主项目管理的应用
对于旧版宿主项目,只有当宿主项目和服务项目位于同一边界时,您才能 关联服务项目。如果您将之前关联的服务项目移到边界之外,则在您将服务项目与宿主项目分离之前,服务项目的资源仍可访问。
后续步骤
如需了解启用 VPC Service Controls 的最佳做法,请参阅启用 VPC Service Controls 的最佳做法。
如需了解设计服务边界的最佳做法,请参阅设计和构建服务边界。
如需设置服务边界,请参阅创建服务边界。