Esta página fornece instruções para configurar políticas de rede de tráfego de permissão total no Google Distributed Cloud (GDC) isolado.
As políticas de rede do projeto definem regras de entrada ou saída. Pode definir políticas que permitam a comunicação nos projetos, entre projetos e com endereços IP externos.
Antes de começar
Para configurar políticas de rede de tráfego de permissão total, tem de ter o seguinte:
- As funções de identidade e acesso necessárias. Para mais informações, consulte o artigo Prepare funções e acesso predefinidos.
- Um projeto existente. Para mais informações, consulte Crie um projeto.
Crie uma política de tráfego de permissão total
Esta política permite o tráfego de e para qualquer origem, incluindo outros projetos e endereços IP externos.
Permitir todo o tráfego de entrada
Para permitir todo o tráfego de entrada de qualquer origem para todas as cargas de trabalho no seu projeto, crie a seguinte política:
kubectl --kubeconfig GLOBAL_API_SERVER apply -f - <<EOF
apiVersion: networking.global.gdc.goog/v1
kind: ProjectNetworkPolicy
metadata:
namespace: PROJECT
name: allow-all-ingress
spec:
policyType: Ingress
ingress:
- {}
EOF
Permitir todo o tráfego de saída
Para permitir todo o tráfego de saída para qualquer destino de todas as cargas de trabalho no seu projeto, crie a seguinte política:
kubectl --kubeconfig GLOBAL_API_SERVER apply -f - <<EOF
apiVersion: networking.global.gdc.goog/v1
kind: ProjectNetworkPolicy
metadata:
namespace: PROJECT
name: allow-all-egress
spec:
policyType: Egress
egress:
- {}
EOF
Substitua o seguinte:
GLOBAL_API_SERVER: o caminho kubeconfig do servidor da API global. Para mais informações, consulte o artigo Servidores de API globais e zonais. Se ainda não gerou um ficheiro kubeconfig para o servidor da API, consulte o artigo Iniciar sessão para ver detalhes.PROJECT: o nome do projeto no qual quer permitir todo o tráfego.
Crie uma política de tráfego externo de permissão total
Esta política permite o tráfego de e para endereços IP externos à organização.
Permitir todo o tráfego de entrada externo
Para permitir todo o tráfego de entrada de endereços IP externos para todas as cargas de trabalho num projeto, crie a seguinte política:
kubectl --kubeconfig GLOBAL_API_SERVER apply -f - <<EOF
apiVersion: networking.global.gdc.goog/v1
kind: ProjectNetworkPolicy
metadata:
namespace: PROJECT
name: allow-all-external-ingress
spec:
policyType: Ingress
ingress:
- from:
- ipBlock:
cidr: 0.0.0.0/0
EOF
Permitir todo o tráfego de saída externo
Para permitir todo o tráfego de saída de todas as cargas de trabalho no seu projeto para endereços IP externos, crie a seguinte política:
kubectl --kubeconfig GLOBAL_API_SERVER apply -f - <<EOF
apiVersion: networking.global.gdc.goog/v1
kind: ProjectNetworkPolicy
metadata:
namespace: PROJECT
name: allow-all-external-egress
spec:
policyType: Egress
egress:
- to:
- ipBlock:
cidr: 0.0.0.0/0
EOF
Substitua o seguinte:
GLOBAL_API_SERVER: o caminho kubeconfig do servidor da API global. Para mais informações, consulte o artigo Servidores de API globais e zonais. Se ainda não gerou um ficheiro kubeconfig para o servidor da API, consulte o artigo Iniciar sessão para ver detalhes.PROJECT: o nome do projeto onde quer permitir todo o tráfego externo.
Crie uma política de tráfego que permita todos os projetos
Esta política permite o tráfego de e para todos os projetos na organização.
Permitir tráfego de entrada de todos os projetos
Para permitir o tráfego de entrada de todos os projetos para todas as cargas de trabalho no seu projeto, crie a seguinte política:
kubectl --kubeconfig GLOBAL_API_SERVER apply -f - <<EOF
apiVersion: networking.global.gdc.goog/v1
kind: ProjectNetworkPolicy
metadata:
namespace: PROJECT
name: allow-all-projects-ingress
spec:
policyType: Ingress
ingress:
- from:
- projectSelector: {}
EOF
Permitir tráfego de saída de todos os projetos
Para permitir o tráfego de saída de todas as cargas de trabalho no seu projeto para todos os projetos, crie a seguinte política:
kubectl --kubeconfig GLOBAL_API_SERVER apply -f - <<EOF
apiVersion: networking.global.gdc.goog/v1
kind: ProjectNetworkPolicy
metadata:
namespace: PROJECT
name: allow-all-projects-egress
spec:
policyType: Egress
egress:
- to:
- projectSelector: {}
EOF
Substitua o seguinte:
GLOBAL_API_SERVER: o caminho kubeconfig do servidor da API global. Para mais informações, consulte o artigo Servidores de API globais e zonais. Se ainda não gerou um ficheiro kubeconfig para o servidor da API, consulte o artigo Iniciar sessão para ver detalhes.PROJECT: o nome do projeto onde quer permitir todo o tráfego de projetos.