GCP VPC 服务控制：允许访问属于同一宿主项目的服务项目子集

Question

我有以下 GCP 资源：

• 项目 "network" 与宿主项目 "Apps1" 对等。
• 项目 "network" 包含一个存储桶 "test-bucket"
• "Apps1" 有一个带有 2 个 snet 的 VPC："snet-dev" 和 "snet-rec"
• "Apps1"附上两个服务项目：
  • 服务项目"project-dev"使用Snet"snet-dev"
  • 服务项目"project-rec"使用Snet"snet-rec"

我的服务边界保护三个项目：network、Apps1 和 project-rec。它保护 Google Cloud Storage API、Pub/Sub、GKE Con​​nect API 和 Kubernetes Engine API.

gsutil ls gs://test-bucket/ 给出以下结果：

• 来自互联网：=== KO（预期结果）
• 来自项目中的一个实例"network" === OK（预期结果）
• 来自 "project-rec" 中的一个实例，该实例使用来自 "Apps1" 的 Snet === OK（预期结果）
• 来自 "project-dev" 中的一个实例，它使用来自 "Apps1" 的 Snet === OK（不是预期的结果）

是否可以在属于同一宿主项目的服务项目上设置不同的边界？如果是这样，我做错了什么？

谢谢。

Answer 1

Shared VPC 的概念允许您集中控制 VPC 资产。但是 Google Cloud Storage 不是 VPC 的成员，它是 public apis 的一部分。因此您可能无法通过共享 VPC 控制存储桶访问。

我不确定，但如果您启用 private google access，您可能会实现这一目标。

Answer 2

目前，VPC 服务控制 (VPC-SC) 只能按 VPC 网络对资源进行分段，即共享 VPC 网络中的所有虚拟机/Pods 始终属于 VPC 创建的同一服务边界（分段）- SC。 VPC-SC 目前不支持 Sub-VPC 分段。

通过将 Apps1 添加到服务边界，宿主项目中共享 VPC 的所有子网都是该边界的一部分。因此，由于 "project-dev"、"snet-dev"、"project-rec" 和 "snet-rec" 处于相同的服务范围内，因此产品的行为符合预期。