Créer des règles de réseau pour l'organisation

Une règle réseau d'organisation définit le contrôle des accès au réseau pour les services gérés au niveau de l'organisation exposés via Google Distributed Cloud (GDC) air-gapped. Vous pouvez définir ces contrôles d'accès à l'aide de la ressource OrganizationNetworkPolicy de l'API Networking.

Pour obtenir les autorisations nécessaires pour configurer la règle de réseau de l'organisation, demandez à votre administrateur IAM (Identity and Access Management) de l'organisation de vous attribuer le rôle Administrateur des règles de réseau de l'organisation (org-network-policy-admin).

Vous pouvez définir une règle de réseau d'organisation pour les contrôles d'accès aux services gérés GDC suivants :

• Tous les services
• Console GDC
• Distributed Cloud CLI
• Serveur d'API mondial
• Key Management Systems (KMS)
• Stockage d'objets
• Vertex AI
  • Les services de Vertex AI compatibles avec une règle incluent l'API Optical Character Recognition, l'API Speech-to-Text, l'API Translation et Workbench.

Règle par défaut

Par défaut, les services gérés GDC suivants sont soumis aux principes suivants :

Exemple de règle de réseau d'organisation

Voici un exemple de ressource OrganizationNetworkPolicy qui autorise le trafic provenant d'une adresse IP à accéder à un service géré GDC.

   kubectl --kubeconfig MANAGEMENT_API_SERVER apply -f - <<EOF
   apiVersion: networking.gdc.goog/v1
   kind: OrganizationNetworkPolicy
   metadata:
     name: POLICY_NAME
     namespace: platform
   spec:
     subject:
       services:
         matchTypes:
         - "SERVICE_NAME"
     ingress:
       - from:
         - ipBlock:
             cidr: IP_ADDRESS
         - ipBlock:
             cidr: IP_ADDRESS
   EOF

Remplacez les variables suivantes :