Uma política de rede da organização define o controlo de acesso à rede para serviços geridos ao nível da organização expostos através do Google Distributed Cloud (GDC) air-gapped. Pode definir estes controlos de acesso através do recurso OrganizationNetworkPolicy da API Networking.
Para receber as autorizações necessárias para configurar a política de rede da organização,
peça ao administrador da gestão de identidade e de acesso (IAM) da organização que lhe conceda a função de administrador da política de rede da organização (org-network-policy-admin).
Pode definir uma política de rede da organização para controlos de acesso para os seguintes serviços geridos pela GDC:
- Todos os serviços
- Consola da GDC
- CLI do Distributed Cloud
- Servidor da API global
- Sistemas de gestão de chaves (KMS)
- Armazenamento de objetos
- Vertex AI
- Os serviços na Vertex AI que uma política suporta incluem a API Optical Character Recognition, API Speech-to-Text, API Translation> e o Workbench.
Política predefinida
Por predefinição, os serviços geridos do GDC têm os seguintes princípios:
| Serviço da GDC | Princípio |
|---|---|
| Todos os serviços | allow-all |
| Consola da GDC | allow-all |
| CLI gcloud | allow-all |
| Servidor de API global | deny-by-default |
| KMS | deny-by-default |
| Armazenamento de objetos | deny-by-default |
| Vertex AI e serviços suportados | deny-by-default |
Exemplo de política de rede de organização
Segue-se um exemplo de um recurso OrganizationNetworkPolicy que permite que o tráfego de um endereço IP aceda a um serviço gerido do GDC.
kubectl --kubeconfig MANAGEMENT_API_SERVER apply -f - <<EOF
apiVersion: networking.gdc.goog/v1
kind: OrganizationNetworkPolicy
metadata:
name: POLICY_NAME
namespace: platform
spec:
subject:
services:
matchTypes:
- "SERVICE_NAME"
ingress:
- from:
- ipBlock:
cidr: IP_ADDRESS
- ipBlock:
cidr: IP_ADDRESS
EOF
Substitua as seguintes variáveis:
| Variável | Descrição |
|---|---|
| MANAGEMENT_API_SERVER | O caminho kubeconfig do servidor de API zonal. Se ainda não gerou um ficheiro kubeconfig para o servidor da API na sua zona segmentada, consulte Iniciar sessão para ver detalhes. |
| POLICY_NAME | O nome a atribuir à política. Por exemplo, allow-ui-access. |
| SERVICE_NAME | O nome do serviço ao qual aplicar a política. Use os seguintes valores para cada serviço:
|
| IP_ADDRESS | O endereço IP para permitir o acesso. Por exemplo, 10.251.0.0/24. Também pode adicionar vários endereços IP definindo mais de um campo ipBlock para cada endereço IP. |