如何将 PubSub 推送订阅与 VPC Service Controls 一起使用?
How to use PubSub Push subscriptions with VPC Service Controls?
Google 提到云 VPC 服务控制限制 here 状态:
- 在受服务边界保护的项目中,无法创建新的推送订阅。
- Pub/Sub 在服务边界之前创建的推送订阅不会被阻止。
问题
1. 这是否意味着要将 PubSub 推送订阅与 VPC 服务控制一起使用,必须:
- 先创建推送订阅,然后
- 定义 VPC 服务边界
2. 这是 Google 推荐的创建使用 PubSub 推送订阅和 VPC 服务控制的安全方法吗?
3. 或者 Google 建议完全避免将 PubSub 推送订阅与 VPC 服务控制一起使用?
在您的周边,您需要管理所有通信。外部推送是非托管事件,不符合 VPC SC。
这就是为什么您无法在设置边界时创建推送订阅:它不安全。
但是,为了不破坏您当前的项目和体系结构,Google 不会 delete/deactivate 现有的推送订阅继续像以前一样工作。
所以现在,因为您需要管理 VPC SC 的所有连接,所以正确的模式是使用请求订阅来启动从 VPC SC 到 PubSub 订阅的通信,然后在边界内获取消息.
Google 提到云 VPC 服务控制限制 here 状态:
- 在受服务边界保护的项目中,无法创建新的推送订阅。
- Pub/Sub 在服务边界之前创建的推送订阅不会被阻止。
问题
1. 这是否意味着要将 PubSub 推送订阅与 VPC 服务控制一起使用,必须:
- 先创建推送订阅,然后
- 定义 VPC 服务边界
2. 这是 Google 推荐的创建使用 PubSub 推送订阅和 VPC 服务控制的安全方法吗?
3. 或者 Google 建议完全避免将 PubSub 推送订阅与 VPC 服务控制一起使用?
在您的周边,您需要管理所有通信。外部推送是非托管事件,不符合 VPC SC。
这就是为什么您无法在设置边界时创建推送订阅:它不安全。
但是,为了不破坏您当前的项目和体系结构,Google 不会 delete/deactivate 现有的推送订阅继续像以前一样工作。
所以现在,因为您需要管理 VPC SC 的所有连接,所以正确的模式是使用请求订阅来启动从 VPC SC 到 PubSub 订阅的通信,然后在边界内获取消息.