VPC Service Controls הוא תכונה שמאפשרת להגדיר גבולות גזרה לשירות וליצור גבול להעברת נתונים. Google Cloud אתם יכולים להשתמש ב-VPC Service Controls עם Eventarc כדי להגן על השירותים שלכם.
מומלץ להגן על כל השירותים כשיוצרים גבולות גזרה לשירות.
Eventarc Advanced
אוטובוס Eventarc Advanced מחוץ לגבולות גזרה לשירות לא יכול לקבל אירועים מפרויקטים בתוך גבולות גזרה לשירות. Google Cloud אוטובוס מתקדם של Eventarc בתוך היקף לא יכול לנתב אירועים לצרכן מחוץ להיקף.
- כדי לפרסם ב-Eventarc Advanced, המקור של אירוע צריך להיות בתוך אותם גבולות גזרה לשירות כמו האוטובוס.
- כדי לצרוך הודעה, צרכן האירועים צריך להיות באותו היקף שירות כמו האוטובוס.
כדי לוודא שיש תמיכה ב-VPC Service Controls במשאבים
Enrollment,GoogleApiSource, MessageBusו-Pipeline, אפשר לעיין ביומני הפלטפורמה לגבי תעבורת נתונים נכנסת (ingress).
Eventarc Standard
בפרויקטים שמוגנים על ידי גבולות גזרה לשירות, Eventarc Standard כפוף לאותן מגבלות כמו Pub/Sub:
כשמנתבים אירועים ליעדי Cloud Run, אפשר ליצור מינויים חדשים ל-Pub/Sub push רק אם נקודות הקצה של ה-push מוגדרות לשירותי Cloud Run עם כתובות URL של
run.appברירת מחדל. דומיינים בהתאמה אישית לא פועלים.כשמנתבים אירועים ליעדים של Workflows שבהם נקודת הקצה של Pub/Sub push מוגדרת להפעלה של Workflows, אפשר ליצור מינויים חדשים ל-Pub/Sub push רק דרך Eventarc. חשוב לזכור שחשבון השירות שמשמש לאימות בדחיפה עבור נקודת הקצה של Workflows צריך להיכלל בפרימטר של חשבון השירות.
VPC Service Controls חוסם את היצירה של טריגרים של Eventarc עבור נקודות קצה פנימיות של HTTP. ההגנה של VPC Service Controls לא חלה כשמנתבים אירועים ליעדים כאלה.
המאמרים הבאים
מידע נוסף על VPC Service Controls זמין בסקירה הכללית ובמאמר בנושא מוצרים נתמכים ומגבלות.
שיטות מומלצות לתכנון גבולות גזרה לשירות מפורטות במאמר תכנון גבולות גזרה לשירות וארכיטקטורה שלהם.
כדי להגדיר גבולות גזרה לשירות, אפשר לעיין במאמר יצירת גבולות גזרה לשירות.