Nesta página, você encontra instruções para configurar políticas de rede de tráfego de permissão total no Google Distributed Cloud (GDC) com isolamento físico.
As políticas de rede do projeto definem regras de entrada ou saída. É possível definir políticas que permitem a comunicação dentro de projetos, entre projetos e com endereços IP externo.
Antes de começar
Para configurar políticas de rede de tráfego de permissão total, você precisa do seguinte:
- Os papéis necessários de identidade e acesso. Para mais informações, consulte Preparar papéis predefinidos e acesso.
- Um projeto atual. Para mais informações, consulte Criar um projeto.
Criar uma política de tráfego de permissão total
Essa política permite o tráfego de e para qualquer origem, incluindo outros projetos e endereços IP externo.
Permitir todo o tráfego de entrada
Para permitir todo o tráfego de entrada de qualquer origem para todas as cargas de trabalho no seu projeto, crie a seguinte política:
kubectl --kubeconfig GLOBAL_API_SERVER apply -f - <<EOF
apiVersion: networking.global.gdc.goog/v1
kind: ProjectNetworkPolicy
metadata:
namespace: PROJECT
name: allow-all-ingress
spec:
policyType: Ingress
ingress:
- {}
EOF
Permitir todo o tráfego de saída
Para permitir todo o tráfego de saída para qualquer destino de todas as cargas de trabalho no seu projeto, crie a seguinte política:
kubectl --kubeconfig GLOBAL_API_SERVER apply -f - <<EOF
apiVersion: networking.global.gdc.goog/v1
kind: ProjectNetworkPolicy
metadata:
namespace: PROJECT
name: allow-all-egress
spec:
policyType: Egress
egress:
- {}
EOF
Substitua:
GLOBAL_API_SERVER: o caminho do kubeconfig do servidor de API global. Para mais informações, consulte Servidores de API globais e zonais. Se você ainda não gerou um arquivo kubeconfig para o servidor da API, consulte Fazer login para mais detalhes.PROJECT: o nome do projeto em que você quer permitir todo o tráfego.
Criar uma política de tráfego externo de permissão total
Essa política permite o tráfego de e para endereços IP externos à organização.
Permitir todo o tráfego de entrada externo
Para permitir todo o tráfego de entrada de endereços IP externo para todas as cargas de trabalho em um projeto, crie a seguinte política:
kubectl --kubeconfig GLOBAL_API_SERVER apply -f - <<EOF
apiVersion: networking.global.gdc.goog/v1
kind: ProjectNetworkPolicy
metadata:
namespace: PROJECT
name: allow-all-external-ingress
spec:
policyType: Ingress
ingress:
- from:
- ipBlock:
cidr: 0.0.0.0/0
EOF
Permitir todo o tráfego de saída externo
Para permitir todo o tráfego de saída de todas as cargas de trabalho no seu projeto para endereços IP externo, crie a seguinte política:
kubectl --kubeconfig GLOBAL_API_SERVER apply -f - <<EOF
apiVersion: networking.global.gdc.goog/v1
kind: ProjectNetworkPolicy
metadata:
namespace: PROJECT
name: allow-all-external-egress
spec:
policyType: Egress
egress:
- to:
- ipBlock:
cidr: 0.0.0.0/0
EOF
Substitua:
GLOBAL_API_SERVER: o caminho do kubeconfig do servidor de API global. Para mais informações, consulte Servidores de API globais e zonais. Se você ainda não gerou um arquivo kubeconfig para o servidor da API, consulte Fazer login para mais detalhes.PROJECT: o nome do projeto em que você quer permitir todo o tráfego externo.
Criar uma política de tráfego que permita todos os projetos
Essa política permite o tráfego de e para todos os projetos na organização.
Permitir todo o tráfego de entrada dos projetos
Para permitir o tráfego de entrada de todos os projetos para todas as cargas de trabalho no seu projeto, crie a seguinte política:
kubectl --kubeconfig GLOBAL_API_SERVER apply -f - <<EOF
apiVersion: networking.global.gdc.goog/v1
kind: ProjectNetworkPolicy
metadata:
namespace: PROJECT
name: allow-all-projects-ingress
spec:
policyType: Ingress
ingress:
- from:
- projectSelector: {}
EOF
Permitir todo o tráfego de saída dos projetos
Para permitir o tráfego de saída de todas as cargas de trabalho no seu projeto para todos os projetos, crie a seguinte política:
kubectl --kubeconfig GLOBAL_API_SERVER apply -f - <<EOF
apiVersion: networking.global.gdc.goog/v1
kind: ProjectNetworkPolicy
metadata:
namespace: PROJECT
name: allow-all-projects-egress
spec:
policyType: Egress
egress:
- to:
- projectSelector: {}
EOF
Substitua:
GLOBAL_API_SERVER: o caminho do kubeconfig do servidor de API global. Para mais informações, consulte Servidores de API globais e zonais. Se você ainda não gerou um arquivo kubeconfig para o servidor da API, consulte Fazer login para mais detalhes.PROJECT: o nome do projeto em que você quer permitir todo o tráfego.