Um Daten-Exfiltration zu verhindern, erstellen Sie einen Dienstperimeter für Ihre App Design Center-Ressourcen. Der Perimeter schützt App Design Center-Ressourcen in Ihrem Verwaltungsprojekt, einschließlich Anwendungsvorlagen und Anwendungen. Sie erstellen einen Dienstperimeter mit VPC Service Controls und privaten Cloud Build-Pools.
So konfigurieren Sie Ihren Dienstperimeter:
Führen Sie die Schritte unter VPC Service Controls verwenden aus, einschließlich der folgenden:
Erstellen Sie den Worker-Pool in einem Projekt im Perimeter.
Für den Cloud Build-Job muss auf das öffentliche Internet zugegriffen werden, um Terraform-Module und -Provider herunterzuladen. Informationen zum Erstellen von Netzwerkregeln, um den Zugriff zu ermöglichen, finden Sie unter Öffentliche Internetanrufe im VPC-Netzwerk aktivieren.
Fügen Sie dem Dienstperimeter Verwaltungsprojekte hinzu, in denen Sie das App Design Center einrichten.
Weisen Sie Ihrem Dienstkonto für die Bereitstellung die Rolle „WorkerPool-Nutzer“ (
roles/cloudbuild.workerPoolUser) zu.Eine Anleitung dazu finden Sie unter IAM-Berechtigungen.
Wenn Sie eine eingeschränkte VIP verwenden, um den Zugriff auf einen VPC Service Controls-fähigen Dienst einzuschränken, konfigurieren Sie DNS so, dass
*.googleapis.comin die eingeschränkte VIP aufgelöst wird.Eine Anleitung finden Sie unter DNS-Konfiguration.
Wenn Sie bereits Anwendungsbereitstellungen haben, stellen Sie Ihre Anwendungen noch einmal bereit, um sie in Ihren VPC Service Controls-Perimeter einzubinden:
Mit dem Flag
--worker-poolkönnen Sie eine Vorschau Ihrer Anwendungen anzeigen lassen und sie bereitstellen.Geben Sie den Worker-Pool im folgenden Format an:
projects/{project}/locations/{location}/workerPools/{workerPoolId}.
Nächste Schritte
Geben Sie Ihren Worker-Pool in den folgenden Befehlen an, um eine Vorschau von Anwendungen aufzurufen und sie bereitzustellen: