조직 네트워크 정책 만들기

조직 네트워크 정책은 Google Distributed Cloud (GDC) 에어갭을 통해 노출되는 조직 수준 관리 서비스의 네트워크 액세스 제어를 정의합니다. 네트워킹 APIOrganizationNetworkPolicy 리소스를 사용하여 이러한 액세스 제어를 정의할 수 있습니다.

조직 네트워크 정책을 구성하는 데 필요한 권한을 얻으려면 조직 ID 및 액세스 관리 (IAM) 관리자에게 조직 네트워크 정책 관리자 (org-network-policy-admin) 역할을 부여해 달라고 요청하세요.

다음 GDC 관리 서비스의 액세스 제어를 위한 조직 네트워크 정책을 정의할 수 있습니다.

기본 정책

기본적으로 다음 GDC 관리형 서비스에는 다음 원칙이 적용됩니다.

GDC 서비스 원칙
모든 서비스 allow-all
GDC 콘솔 allow-all
gdcloud CLI allow-all
전역 API 서버 deny-by-default
KMS deny-by-default
객체 스토리지 deny-by-default
Vertex AI 및 지원되는 서비스 deny-by-default

조직 네트워크 정책 예시

다음은 IP 주소에서 GDC 관리 서비스에 액세스하도록 허용하는 OrganizationNetworkPolicy 리소스의 예입니다.

   kubectl --kubeconfig MANAGEMENT_API_SERVER apply -f - <<EOF
   apiVersion: networking.gdc.goog/v1
   kind: OrganizationNetworkPolicy
   metadata:
     name: POLICY_NAME
     namespace: platform
   spec:
     subject:
       services:
         matchTypes:
         - "SERVICE_NAME"
     ingress:
       - from:
         - ipBlock:
             cidr: IP_ADDRESS
         - ipBlock:
             cidr: IP_ADDRESS
   EOF

다음 변수를 바꿉니다.

변수 설명
MANAGEMENT_API_SERVER 영역 API 서버의 kubeconfig 경로입니다. 타겟 영역의 API 서버에 대한 kubeconfig 파일을 아직 생성하지 않은 경우 로그인에서 자세한 내용을 확인하세요.
POLICY_NAME 정책에 지정할 이름입니다.

예를 들면 allow-ui-access입니다.
SERVICE_NAME 정책을 적용할 서비스의 이름입니다. 각 서비스에 다음 값을 사용합니다.
  • 모든 서비스: all
  • GDC 콘솔: ui-console
  • gdcloud CLI: api-server
  • 글로벌 API 서버: global-api-server
  • KMS: kms
  • 객체 스토리지: object-storage
  • Vertex AI: ai
IP_ADDRESS 액세스를 허용할 IP 주소입니다. 예를 들면 10.251.0.0/24입니다. 각 IP 주소에 대해 ipBlock 필드를 두 개 이상 정의하여 IP 주소를 여러 개 추가할 수도 있습니다.