Halaman ini diterjemahkan oleh Cloud Translation API.

Membuat kebijakan jaringan organisasi

Kebijakan jaringan organisasi menentukan kontrol akses jaringan untuk layanan terkelola tingkat organisasi yang diekspos melalui Google Distributed Cloud (GDC) yang terisolasi. Anda dapat menentukan kontrol akses ini menggunakan resource OrganizationNetworkPolicy dari Networking API.

Untuk mendapatkan izin yang diperlukan guna mengonfigurasi kebijakan jaringan organisasi, minta Admin Identity and Access Management (IAM) Organisasi Anda untuk memberi Anda peran Admin Kebijakan Jaringan Org (org-network-policy-admin).

Anda dapat menentukan kebijakan jaringan organisasi untuk kontrol akses bagi layanan terkelola GDC berikut:

Semua layanan
Konsol GDC
Distributed Cloud CLI
Server API global
Sistem Pengelolaan Kunci (KMS)
Penyimpanan objek
Vertex AI
- Layanan dalam Vertex AI yang didukung kebijakan mencakup Optical Character Recognition API, Speech-to-Text API, Translation API, dan Workbench.

Kebijakan default

Secara default, layanan terkelola GDC berikut memiliki prinsip berikut:

Layanan GDC	Prinsip
Semua layanan	`allow-all`
Konsol GDC	`allow-all`
gdcloud CLI	`allow-all`
Server API global	`deny-by-default`
KMS	`deny-by-default`
Penyimpanan objek	`deny-by-default`
Vertex AI dan layanan yang didukung	`deny-by-default`

Contoh kebijakan jaringan organisasi

Berikut adalah contoh resource OrganizationNetworkPolicy yang mengizinkan traffic dari alamat IP untuk mengakses layanan terkelola GDC.

   kubectl --kubeconfig MANAGEMENT_API_SERVER apply -f - <<EOF
   apiVersion: networking.gdc.goog/v1
   kind: OrganizationNetworkPolicy
   metadata:
     name: POLICY_NAME
     namespace: platform
   spec:
     subject:
       services:
         matchTypes:
         - "SERVICE_NAME"
     ingress:
       - from:
         - ipBlock:
             cidr: IP_ADDRESS
         - ipBlock:
             cidr: IP_ADDRESS
   EOF

Ganti variabel berikut:

Variabel	Deskripsi
`MANAGEMENT_API_SERVER`	Jalur kubeconfig server API zonal. Jika Anda belum membuat file kubeconfig untuk server API di zona target, lihat Login untuk mengetahui detailnya.
`POLICY_NAME`	Nama yang akan diberikan untuk kebijakan. Misalnya, `allow-ui-access`.
`SERVICE_NAME`	Nama layanan untuk menerapkan kebijakan. Gunakan nilai berikut untuk setiap layanan: Semua layanan: `all` Konsol GDC: `ui-console` gdcloud CLI: `api-server` Server API global: `global-api-server` KMS: `kms` Object storage: `object-storage` Vertex AI: `ai` .
`IP_ADDRESS`	Alamat IP yang diizinkan untuk mengakses. Misalnya, `10.251.0.0/24`. Anda juga dapat menambahkan beberapa alamat IP dengan menentukan lebih dari satu kolom `ipBlock` untuk setiap alamat IP.

Membuat kebijakan jaringan organisasi Tetap teratur dengan koleksi Simpan dan kategorikan konten berdasarkan preferensi Anda.

Kebijakan default

Contoh kebijakan jaringan organisasi

Membuat kebijakan jaringan organisasi