Questa pagina fornisce istruzioni per configurare i criteri di rete per il traffico consentito in Google Distributed Cloud (GDC) con air gap.
I criteri di rete del progetto definiscono regole in entrata o in uscita. Puoi definire policy che consentono la comunicazione all'interno dei progetti, tra progetti e con indirizzi IP esterni.
Prima di iniziare
Per configurare i criteri di rete per il traffico consentito, devi disporre di quanto segue:
- I ruoli di identità e accesso necessari. Per saperne di più, consulta Preparare ruoli e accesso predefiniti.
- Un progetto esistente. Per saperne di più, consulta Creare un progetto.
Crea una policy di traffico che consenta tutto
Questa policy consente il traffico da e verso qualsiasi origine, inclusi altri progetti e indirizzi IP esterni.
Consenti tutto il traffico in entrata
Per consentire tutto il traffico in entrata da qualsiasi origine a tutti i workload del tuo progetto, crea il seguente criterio:
kubectl --kubeconfig GLOBAL_API_SERVER apply -f - <<EOF
apiVersion: networking.global.gdc.goog/v1
kind: ProjectNetworkPolicy
metadata:
namespace: PROJECT
name: allow-all-ingress
spec:
policyType: Ingress
ingress:
- {}
EOF
Consenti tutto il traffico in uscita
Per consentire tutto il traffico in uscita verso qualsiasi destinazione da tutti i carichi di lavoro del progetto, crea il seguente criterio:
kubectl --kubeconfig GLOBAL_API_SERVER apply -f - <<EOF
apiVersion: networking.global.gdc.goog/v1
kind: ProjectNetworkPolicy
metadata:
namespace: PROJECT
name: allow-all-egress
spec:
policyType: Egress
egress:
- {}
EOF
Sostituisci quanto segue:
GLOBAL_API_SERVER: il percorso kubeconfig del server API globale. Per saperne di più, vedi Server API globali e di zona. Se non hai ancora generato un file kubeconfig per il server API, consulta la sezione Accedi per maggiori dettagli.PROJECT: il nome del progetto in cui vuoi consentire tutto il traffico.
Crea un criterio per consentire tutto il traffico esterno
Questo criterio consente il traffico da e verso indirizzi IP esterni all'organizzazione.
Consenti tutto il traffico in entrata esterno
Per consentire tutto il traffico in entrata dagli indirizzi IP esterni a tutti i carichi di lavoro di un progetto, crea il seguente criterio:
kubectl --kubeconfig GLOBAL_API_SERVER apply -f - <<EOF
apiVersion: networking.global.gdc.goog/v1
kind: ProjectNetworkPolicy
metadata:
namespace: PROJECT
name: allow-all-external-ingress
spec:
policyType: Ingress
ingress:
- from:
- ipBlock:
cidr: 0.0.0.0/0
EOF
Consenti tutto il traffico in uscita esterno
Per consentire tutto il traffico in uscita da tutti i carichi di lavoro del tuo progetto verso indirizzi IP esterni, crea il seguente criterio:
kubectl --kubeconfig GLOBAL_API_SERVER apply -f - <<EOF
apiVersion: networking.global.gdc.goog/v1
kind: ProjectNetworkPolicy
metadata:
namespace: PROJECT
name: allow-all-external-egress
spec:
policyType: Egress
egress:
- to:
- ipBlock:
cidr: 0.0.0.0/0
EOF
Sostituisci quanto segue:
GLOBAL_API_SERVER: il percorso kubeconfig del server API globale. Per saperne di più, vedi Server API globali e di zona. Se non hai ancora generato un file kubeconfig per il server API, consulta la sezione Accedi per maggiori dettagli.PROJECT: il nome del progetto in cui vuoi consentire tutto il traffico esterno.
Crea una policy del traffico che consenta tutti i progetti
Questo criterio consente il traffico da e verso tutti i progetti all'interno dell'organizzazione.
Consenti tutto il traffico in entrata dei progetti
Per consentire il traffico in entrata da tutti i progetti a tutti i carichi di lavoro nel tuo progetto, crea il seguente criterio:
kubectl --kubeconfig GLOBAL_API_SERVER apply -f - <<EOF
apiVersion: networking.global.gdc.goog/v1
kind: ProjectNetworkPolicy
metadata:
namespace: PROJECT
name: allow-all-projects-ingress
spec:
policyType: Ingress
ingress:
- from:
- projectSelector: {}
EOF
Consenti tutto il traffico in uscita dei progetti
Per consentire il traffico in uscita da tutti i carichi di lavoro nel tuo progetto a tutti i progetti, crea la seguente policy:
kubectl --kubeconfig GLOBAL_API_SERVER apply -f - <<EOF
apiVersion: networking.global.gdc.goog/v1
kind: ProjectNetworkPolicy
metadata:
namespace: PROJECT
name: allow-all-projects-egress
spec:
policyType: Egress
egress:
- to:
- projectSelector: {}
EOF
Sostituisci quanto segue:
GLOBAL_API_SERVER: il percorso kubeconfig del server API globale. Per saperne di più, vedi Server API globali e di zona. Se non hai ancora generato un file kubeconfig per il server API, consulta la sezione Accedi per maggiori dettagli.PROJECT: il nome del progetto in cui vuoi consentire tutto il traffico dei progetti.