Créer des règles de réseau autorisant tout le trafic

Cette page explique comment configurer des règles de réseau "autoriser tout le trafic" dans Google Distributed Cloud (GDC) air-gapped.

Les règles de réseau du projet définissent des règles d'entrée ou de sortie. Vous pouvez définir des règles qui autorisent la communication au sein des projets, entre les projets et avec les adresses IP externes.

Avant de commencer

Pour configurer des règles de réseau de trafic "Tout autoriser", vous devez disposer des éléments suivants :

• Les rôles d'identité et d'accès nécessaires. Pour en savoir plus, consultez Préparer les rôles et les accès prédéfinis.
• Un projet existant. Pour en savoir plus, consultez Créer un projet.

Créer une règle de trafic "Autoriser tout"

Cette règle autorise le trafic vers et depuis n'importe quelle source, y compris d'autres projets et adresses IP externes.

Autoriser tout le trafic entrant

Pour autoriser tout le trafic entrant provenant de n'importe quelle source vers toutes les charges de travail de votre projet, créez la règle suivante :

kubectl --kubeconfig GLOBAL_API_SERVER apply -f - <<EOF
apiVersion: networking.global.gdc.goog/v1
kind: ProjectNetworkPolicy
metadata:
  namespace: PROJECT
  name: allow-all-ingress
spec:
  policyType: Ingress
  ingress:
  - {}
EOF

Autoriser tout le trafic sortant

Pour autoriser tout le trafic sortant vers n'importe quelle destination à partir de toutes les charges de travail de votre projet, créez la règle suivante :

kubectl --kubeconfig GLOBAL_API_SERVER apply -f - <<EOF
apiVersion: networking.global.gdc.goog/v1
kind: ProjectNetworkPolicy
metadata:
  namespace: PROJECT
  name: allow-all-egress
spec:
  policyType: Egress
  egress:
  - {}
EOF

Remplacez les éléments suivants :

• GLOBAL_API_SERVER : chemin d'accès au fichier kubeconfig du serveur d'API global. Pour en savoir plus, consultez Serveurs d'API globaux et zonaux. Si vous n'avez pas encore généré de fichier kubeconfig pour le serveur d'API, consultez Se connecter pour en savoir plus.
• PROJECT : nom du projet pour lequel vous souhaitez autoriser tout le trafic.

Créer une règle de trafic externe "Autoriser tout"

Cette règle autorise le trafic vers et depuis les adresses IP externes à l'organisation.

Autoriser tout le trafic entrant externe

Pour autoriser tout le trafic entrant provenant d'adresses IP externes vers toutes les charges de travail d'un projet, créez la règle suivante :

kubectl --kubeconfig GLOBAL_API_SERVER apply -f - <<EOF
apiVersion: networking.global.gdc.goog/v1
kind: ProjectNetworkPolicy
metadata:
  namespace: PROJECT
  name: allow-all-external-ingress
spec:
  policyType: Ingress
  ingress:
  - from:
    - ipBlock:
        cidr: 0.0.0.0/0
EOF

Autoriser tout le trafic sortant externe

Pour autoriser tout le trafic sortant de toutes les charges de travail de votre projet vers des adresses IP externes, créez la règle suivante :

kubectl --kubeconfig GLOBAL_API_SERVER apply -f - <<EOF
apiVersion: networking.global.gdc.goog/v1
kind: ProjectNetworkPolicy
metadata:
  namespace: PROJECT
  name: allow-all-external-egress
spec:
  policyType: Egress
  egress:
  - to:
    - ipBlock:
        cidr: 0.0.0.0/0
EOF

Remplacez les éléments suivants :

• GLOBAL_API_SERVER : chemin d'accès au fichier kubeconfig du serveur d'API global. Pour en savoir plus, consultez Serveurs d'API globaux et zonaux. Si vous n'avez pas encore généré de fichier kubeconfig pour le serveur d'API, consultez Se connecter pour en savoir plus.
• PROJECT : nom du projet pour lequel vous souhaitez autoriser tout le trafic externe.

Créer une règle de trafic "Autoriser tous les projets"

Cette règle autorise le trafic vers et depuis tous les projets de l'organisation.

Autoriser le trafic entrant de tous les projets

Pour autoriser le trafic entrant de tous les projets vers toutes les charges de travail de votre projet, créez la règle suivante :

kubectl --kubeconfig GLOBAL_API_SERVER apply -f - <<EOF
apiVersion: networking.global.gdc.goog/v1
kind: ProjectNetworkPolicy
metadata:
  namespace: PROJECT
  name: allow-all-projects-ingress
spec:
  policyType: Ingress
  ingress:
  - from:
    - projectSelector: {}
EOF

Autoriser le trafic sortant de tous les projets

Pour autoriser le trafic sortant de toutes les charges de travail de votre projet vers tous les projets, créez la règle suivante :

kubectl --kubeconfig GLOBAL_API_SERVER apply -f - <<EOF
apiVersion: networking.global.gdc.goog/v1
kind: ProjectNetworkPolicy
metadata:
  namespace: PROJECT
  name: allow-all-projects-egress
spec:
  policyType: Egress
  egress:
  - to:
    - projectSelector: {}
EOF

Remplacez les éléments suivants :

• GLOBAL_API_SERVER : chemin d'accès au fichier kubeconfig du serveur d'API global. Pour en savoir plus, consultez Serveurs d'API globaux et zonaux. Si vous n'avez pas encore généré de fichier kubeconfig pour le serveur d'API, consultez Se connecter pour en savoir plus.
• PROJECT : nom du projet pour lequel vous souhaitez autoriser le trafic de tous les projets.