Um sich vor Daten-Exfiltration zu schützen, erstellen Sie einen Dienstperimeter für Ihre App Design Center-Ressourcen. Der Perimeter schützt App Design Center-Ressourcen in Ihrem Verwaltungsprojekt, einschließlich Anwendungsvorlagen und Anwendungen. Sie erstellen einen Dienstperimeter mit VPC Service Controls und privaten Cloud Build-Pools.
Dienstperimeter konfigurieren
So konfigurieren Sie Ihren Dienstperimeter:
Führen Sie die Schritte unter VPC Service Controls verwenden aus, einschließlich der folgenden Schritte:
Erstellen Sie den Worker-Pool in einem Projekt im Perimeter.
Der Cloud Build-Job muss auf das öffentliche Internet zugreifen können, um Terraform-Module und ‑Provider herunterzuladen. Informationen zum Erstellen von Netzwerkregeln, um den Zugriff zu ermöglichen, siehe Aufrufe über das öffentliche Internet im VPC-Netzwerk aktivieren.
Fügen Sie dem Dienstperimeter Verwaltungsprojekte hinzu, in denen Sie App Design Center einrichten.
Weisen Sie Ihrem Bereitstellungsdienstkonto die Rolle „WorkerPool-Nutzer“ (
roles/cloudbuild.workerPoolUser) zu.Eine Anleitung finden Sie unter IAM-Berechtigungen.
Wenn Sie eine eingeschränkte VIP verwenden, um den Zugriff auf einen Dienst mit aktivierten VPC Service Controls einzuschränken, konfigurieren Sie DNS so, dass
*.googleapis.comin die eingeschränkte VIP aufgelöst wird.Eine Anleitung finden Sie unter DNS-Konfiguration.
Wenn Sie bereits Anwendungsbereitstellungen haben, stellen Sie Ihre Anwendungen noch einmal bereit, um sie in Ihren VPC Service Controls-Perimeter zu integrieren:
Zeigen Sie eine Vorschau Ihrer Anwendungen an und stellen Sie sie bereit mit dem
--worker-poolFlag.Geben Sie den Worker-Pool im folgenden Format an:
projects/{project}/locations/{location}/workerPools/{workerPoolId}.
Nächste Schritte
Wenn Sie eine Vorschau von Anwendungen anzeigen und sie bereitstellen möchten, geben Sie Ihren Worker-Pool in den folgenden Befehlen an: