使用 VPC Service Controls 設定服務範圍

VPC Service Controls 是一項 Google Cloud 功能，可讓您設定服務範圍並建立資料傳輸邊界。您可以搭配使用 VPC Service Controls 和 Eventarc，保護服務安全。

建立服務範圍時，建議您保護所有服務。

限制

在受服務範圍保護的專案中，適用下列限制：

Eventarc Advanced

• 服務範圍外的 Eventarc Advanced 匯流排無法接收範圍內專案的事件。 Google Cloud 範圍內的 Eventarc Advanced 匯流排無法將事件轉送至範圍外的消費者。

  • 如要發布至 Eventarc Advanced 匯流排，事件來源必須與匯流排位於相同的服務範圍內。
  • 如要取用訊息，事件消費者必須與匯流排位於同一服務邊界內。

• 您無法在服務安全防護範圍內建立 Eventarc Advanced pipeline。您可以測試 MessageBus、GoogleApiSource 和 Enrollment 資源的 VPC Service Controls 支援功能，並查看平台記錄中的輸入內容；不過，您無法測試 VPC Service Controls 輸出內容。如果這些資源位於服務安全防護範圍內，您就無法設定 Eventarc Advanced，在該範圍內端對端傳送事件。

Eventarc Standard

• Eventarc Standard 受到與 Pub/Sub 相同的限制：

  • 將事件傳送至 Cloud Run 目的地時，只有在推送端點設為具有預設 run.app URL 的 Cloud Run 服務時，才能建立新的 Pub/Sub 推送訂閱項目。自訂網域不適用。

  • 如果將事件轉送至 Workflows 目的地，且 Pub/Sub 推送端點設為 Workflows 執行作業，您只能透過 Eventarc 建立新的 Pub/Sub 推送訂閱項目。請注意，用於 Workflows 端點推送驗證的服務帳戶必須納入服務安全防護範圍。

• VPC Service Controls 會禁止為內部 HTTP 端點建立 Eventarc 觸發條件。將事件轉送至這類目的地時，VPC Service Controls 保護措施不適用。

後續步驟

• 如要進一步瞭解 VPC Service Controls，請參閱總覽和支援的產品和限制。

• 如要瞭解啟用 VPC Service Controls 的最佳做法，請參閱啟用 VPC Service Controls 的最佳做法。

• 如需設計服務範圍的最佳做法，請參閱「設計及建構服務範圍」。

• 如要設定服務範圍，請參閱「建立服務範圍」。