Organiza tus páginas con colecciones
Guarda y categoriza el contenido según tus preferencias.
Una política de red de la organización define el control de acceso a la red para los servicios administrados a nivel de la organización que se exponen a través de Google Distributed Cloud (GDC) con aislamiento físico. Puedes definir estos controles de acceso con el recurso OrganizationNetworkPolicy de la API de Networking.
Para obtener los permisos que necesitas para configurar la política de red de la organización, pídele a tu administrador de Identity and Access Management (IAM) de la organización que te otorgue el rol de administrador de políticas de red de la organización (org-network-policy-admin).
Puedes definir una política de red de la organización para los controles de acceso de los siguientes servicios administrados por GDC:
De forma predeterminada, los siguientes servicios administrados por GDC tienen los siguientes principios:
Servicio de GDC
Principio
Todos los servicios
allow-all
Consola de GDC
allow-all
CLI de gcloud
allow-all
Servidor de la API global
deny-by-default
KMS
deny-by-default
Almacenamiento de objetos
deny-by-default
Vertex AI y los servicios compatibles
deny-by-default
Ejemplo de política de red de la organización
A continuación, se muestra un ejemplo de un recurso OrganizationNetworkPolicy que permite que el tráfico de una dirección IP acceda a un servicio administrado por GDC.
Es la ruta de acceso al archivo kubeconfig del servidor de API zonal. Si aún no generaste un archivo kubeconfig para el servidor de la API en la zona de destino, consulta Accede para obtener más detalles.
POLICY_NAME
Nombre que se le dará a la política.
Por ejemplo, allow-ui-access.
SERVICE_NAME
Es el nombre del servicio al que se aplicará la política. Usa los siguientes valores para cada servicio:
Todos los servicios: all
Consola de GDC: ui-console
CLI de gcloud: api-server
Servidor de la API global: global-api-server
KMS: kms
Almacenamiento de objetos: object-storage
Vertex AI: ai
.
IP_ADDRESS
Es la dirección IP a la que se le permitirá el acceso. Por ejemplo, 10.251.0.0/24. También puedes agregar varias direcciones IP definiendo más de un campo ipBlock para cada dirección IP.
[[["Fácil de comprender","easyToUnderstand","thumb-up"],["Resolvió mi problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Información o código de muestra incorrectos","incorrectInformationOrSampleCode","thumb-down"],["Faltan la información o los ejemplos que necesito","missingTheInformationSamplesINeed","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-09-04 (UTC)"],[[["\u003cp\u003eAn Organization Network Policy in Google Distributed Cloud (GDC) air-gapped defines network access controls for organization-level managed services, managed via the \u003ccode\u003eOrganizationNetworkPolicy\u003c/code\u003e resource in the Networking API.\u003c/p\u003e\n"],["\u003cp\u003eThe Org Network Policy Admin (\u003ccode\u003eorg-network-policy-admin\u003c/code\u003e) role is required to configure the organization network policy.\u003c/p\u003e\n"],["\u003cp\u003eGDC managed services such as the GDC console, Distributed Cloud CLI, Global API server, KMS, Object storage, and Vertex AI can have organization network policies defined for them.\u003c/p\u003e\n"],["\u003cp\u003eBy default, the Global API server, KMS, Object storage, and Vertex AI services have a \u003ccode\u003edeny-by-default\u003c/code\u003e principle, while other services like GDC console and the Distributed Cloud CLI are \u003ccode\u003eallow-all\u003c/code\u003e.\u003c/p\u003e\n"],["\u003cp\u003eAn \u003ccode\u003eOrganizationNetworkPolicy\u003c/code\u003e resource example is provided that demonstrates how to allow traffic from specified IP addresses to access a designated GDC managed service, using variables like \u003ccode\u003eMANAGEMENT_API_SERVER\u003c/code\u003e, \u003ccode\u003ePOLICY_NAME\u003c/code\u003e, \u003ccode\u003eSERVICE_NAME\u003c/code\u003e, and \u003ccode\u003eIP_ADDRESS\u003c/code\u003e.\u003c/p\u003e\n"]]],[],null,["# Create organization network policies\n\nAn organization network policy defines the network access control for\norganization-level managed services exposed through Google Distributed Cloud (GDC) air-gapped. You can define these access controls using the\n[`OrganizationNetworkPolicy`](/distributed-cloud/hosted/docs/latest/gdch/apis/service/networking/v1/networking-v1#organizationnetworkpolicy)\nresource from the\n[Networking API](/distributed-cloud/hosted/docs/latest/gdch/apis/service/networking/networking-api-overview).\n\nTo get the permissions you need to configure the organization network policy,\nask your Organization Identity and Access Management (IAM) Admin to grant you the Org\nNetwork Policy Admin (`org-network-policy-admin`) role.\n\nYou can define an organization network policy for access controls for the\nfollowing GDC managed services:\n\n- All services\n- GDC console\n- [Distributed Cloud CLI](/distributed-cloud/hosted/docs/latest/gdch/resources/gdcloud-overview)\n- [Global API server](/distributed-cloud/hosted/docs/latest/gdch/resources/multi-zone/api-servers)\n- [Key Management Systems (KMS)](/distributed-cloud/hosted/docs/latest/gdch/platform/pa-user/kms/kms)\n- [Object storage](/distributed-cloud/hosted/docs/latest/gdch/platform/pa-user/storage#object_storage)\n- [Vertex AI](/distributed-cloud/hosted/docs/latest/gdch/platform/pa-user/vertex-pre-trained-apis)\n - Services within Vertex AI that a policy supports include the [Optical Character Recognition API](/distributed-cloud/hosted/docs/latest/gdch/application/ao-user/quickstart-ocr), [Speech-to-Text API](/distributed-cloud/hosted/docs/latest/gdch/application/ao-user/quickstart-stt), [Translation API](/distributed-cloud/hosted/docs/latest/gdch/application/ao-user/quickstart-translation), and [Workbench](/distributed-cloud/hosted/docs/latest/gdch/application/ao-user/vertex-ai-workbench-intro).\n\nDefault policy\n--------------\n\nBy default, the following GDC managed services have\nthe following principles:\n\nExample organization network policy\n-----------------------------------\n\nThe following is an example of an `OrganizationNetworkPolicy` resource that\nallows traffic from an IP address to access a GDC\nmanaged service. \n\n kubectl --kubeconfig \u003cvar translate=\"no\"\u003eMANAGEMENT_API_SERVER\u003c/var\u003e apply -f - \u003c\u003cEOF\n apiVersion: networking.gdc.goog/v1\n kind: OrganizationNetworkPolicy\n metadata:\n name: \u003cvar translate=\"no\"\u003ePOLICY_NAME\u003c/var\u003e\n namespace: platform\n spec:\n subject:\n services:\n matchTypes:\n - \"\u003cvar translate=\"no\"\u003eSERVICE_NAME\u003c/var\u003e\"\n ingress:\n - from:\n - ipBlock:\n cidr: \u003cvar translate=\"no\"\u003eIP_ADDRESS\u003c/var\u003e\n - ipBlock:\n cidr: \u003cvar translate=\"no\"\u003eIP_ADDRESS\u003c/var\u003e\n EOF\n\nReplace the following variables:"]]
