GCP VPC 服务控制:允许访问属于同一宿主项目的服务项目子集
GCP VPC Service Control: Allow access to a subset of Service Projects that belong to the same Host Project
我有以下 GCP 资源:
- 项目 "network" 与宿主项目 "Apps1" 对等。
- 项目 "network" 包含一个存储桶 "test-bucket"
- "Apps1" 有一个带有 2 个 snet 的 VPC:"snet-dev" 和 "snet-rec"
- "Apps1"附上两个服务项目:
- 服务项目"project-dev"使用Snet"snet-dev"
- 服务项目"project-rec"使用Snet"snet-rec"
我的服务边界保护三个项目:network、Apps1 和 project-rec。它保护 Google Cloud Storage API、Pub/Sub、GKE Connect API 和 Kubernetes Engine API.
gsutil ls gs://test-bucket/
给出以下结果:
- 来自互联网:=== KO(预期结果)
- 来自项目中的一个实例"network" === OK(预期结果)
- 来自 "project-rec" 中的一个实例,该实例使用来自 "Apps1" 的 Snet === OK(预期结果)
- 来自 "project-dev" 中的一个实例,它使用来自 "Apps1" 的 Snet === OK(不是预期的结果)
是否可以在属于同一宿主项目的服务项目上设置不同的边界?如果是这样,我做错了什么?
谢谢。
Shared VPC 的概念允许您集中控制 VPC 资产。但是 Google Cloud Storage 不是 VPC 的成员,它是 public apis 的一部分。因此您可能无法通过共享 VPC 控制存储桶访问。
我不确定,但如果您启用 private google access,您可能会实现这一目标。
目前,VPC 服务控制 (VPC-SC) 只能按 VPC 网络对资源进行分段,即共享 VPC 网络中的所有虚拟机/Pods 始终属于 VPC 创建的同一服务边界(分段)- SC。 VPC-SC 目前不支持 Sub-VPC 分段。
通过将 Apps1 添加到服务边界,宿主项目中共享 VPC 的所有子网都是该边界的一部分。因此,由于 "project-dev"、"snet-dev"、"project-rec" 和 "snet-rec" 处于相同的服务范围内,因此产品的行为符合预期。
我有以下 GCP 资源:
- 项目 "network" 与宿主项目 "Apps1" 对等。
- 项目 "network" 包含一个存储桶 "test-bucket"
- "Apps1" 有一个带有 2 个 snet 的 VPC:"snet-dev" 和 "snet-rec"
- "Apps1"附上两个服务项目:
- 服务项目"project-dev"使用Snet"snet-dev"
- 服务项目"project-rec"使用Snet"snet-rec"
我的服务边界保护三个项目:network、Apps1 和 project-rec。它保护 Google Cloud Storage API、Pub/Sub、GKE Connect API 和 Kubernetes Engine API.
gsutil ls gs://test-bucket/
给出以下结果:
- 来自互联网:=== KO(预期结果)
- 来自项目中的一个实例"network" === OK(预期结果)
- 来自 "project-rec" 中的一个实例,该实例使用来自 "Apps1" 的 Snet === OK(预期结果)
- 来自 "project-dev" 中的一个实例,它使用来自 "Apps1" 的 Snet === OK(不是预期的结果)
是否可以在属于同一宿主项目的服务项目上设置不同的边界?如果是这样,我做错了什么?
谢谢。
Shared VPC 的概念允许您集中控制 VPC 资产。但是 Google Cloud Storage 不是 VPC 的成员,它是 public apis 的一部分。因此您可能无法通过共享 VPC 控制存储桶访问。
我不确定,但如果您启用 private google access,您可能会实现这一目标。
目前,VPC 服务控制 (VPC-SC) 只能按 VPC 网络对资源进行分段,即共享 VPC 网络中的所有虚拟机/Pods 始终属于 VPC 创建的同一服务边界(分段)- SC。 VPC-SC 目前不支持 Sub-VPC 分段。
通过将 Apps1 添加到服务边界,宿主项目中共享 VPC 的所有子网都是该边界的一部分。因此,由于 "project-dev"、"snet-dev"、"project-rec" 和 "snet-rec" 处于相同的服务范围内,因此产品的行为符合预期。