VPC Service Controls 是一項 Google Cloud 功能,可讓您設定服務周圍界線,在Google Cloud 資源周圍建立資料移轉邊界。VPC Service Controls 可為 App Hub 資源提供更多安全性,例如降低資料竊取風險。您可以透過 VPC Service Controls 將專案加入服務範圍內,如此一來,跨越範圍的要求就無法存取相關應用程式、服務和工作負載。
App Hub 資源會顯示在 apphub.googleapis.com API 上,方便您執行建立及刪除應用程式、服務和工作負載等作業。您可以透過限制與這個 API 介面的連線,使用 App Hub 設定 VPC Service Controls。
建立服務 perimeter 時,建議您保護所有 App Hub 資源。
應用程式中心支援下列資源類型:
- 應用程式
- 找到的服務
- 找到的工作負載
- 服務
- 服務專案連結 (僅適用於由主專案管理的應用程式)
- 工作負載
管理專案中的應用程式
為單一專案或資料夾層級的邊界啟用 App Hub API 時,系統會在管理專案中啟用應用程式管理所需的 API。
建立管理專案後,您也可以啟用建議的 API,取得更多以應用程式為中心的功能。
如要將管理專案納入服務範圍,請建立或更新服務範圍,將管理專案和已啟用的 API 納入範圍。
如果是資料夾邊界中的應用程式,VPC Service Controls 限制只會套用至管理專案中的 App Hub 互動。即使這些專案與管理專案不在同一週邊,App Hub 仍可讀取應用程式資料,並探索已啟用應用程式管理功能的資料夾中所有子項專案的服務和工作負載。
如要瞭解必要和建議的 API,請參閱「必要和建議的 API」。
由主專案管理應用程式
如果是舊版主專案,只有在主專案和服務專案位於同一個 perimeter 時,才能附加服務專案。如果將先前附加的服務專案移出 perimeter,在您從主專案卸離服務專案之前,仍可存取服務專案的資源。
後續步驟
如要瞭解啟用 VPC Service Controls 的最佳做法,請參閱「啟用 VPC Service Controls 的最佳做法」。
如需設計 service perimeter 的最佳做法,請參閱「設計及建構 service perimeter」。
如要設定服務範圍,請參閱「建立服務範圍」。