建立專案內流量網路政策

本頁面提供操作說明，說明如何在 Google Distributed Cloud (GDC) 氣隙隔離環境中設定專案內流量網路政策。

專案網路政策會定義輸入或輸出規則。您可以定義政策，允許專案內、專案間以及與外部 IP 位址的通訊。

如需在單一區域內強制執行專案內流量，請參閱「建立工作負載層級網路政策」。

事前準備

如要設定專案內流量網路政策，您必須具備下列條件：

• 必要的身分與存取權角色。詳情請參閱「準備預先定義的角色和存取權」。
• 現有專案。詳情請參閱「建立專案」一文。

建立專案內流量政策

對於專案內的流量，GDC 預設會對每個專案套用預先定義的專案網路政策 (即專案內政策)。根據預設，專案命名空間中的工作負載可以相互通訊，不必向外部資源公開任何內容。

系統預設並未啟用輸出政策，因此允許所有專案內流量的輸出流量。不過，如果設定單一輸出政策，系統只會允許政策指定的流量。

專案內流量網路政策

建立專案時，系統會隱含建立預設基礎 ProjectNetworkPolicy 資源，允許專案內通訊。這項政策允許來自同一專案中其他工作負載的連入流量。

您可以移除預設政策，但請注意，移除後，專案內所有服務和工作負載都會遭到拒絕，無法進行專案內通訊。

建立專案內流量的全域輸出網路政策

指定全域政策，將這項專案網路政策套用至宇宙中的所有可用區。如要進一步瞭解 GDC 宇宙中的全域資源，請參閱多區域總覽。

停用資料外洩防護功能，並將 ProjectNetworkPolicy 輸出政策套用至專案 (例如禁止存取外部資源) 時，請使用下列必要政策，允許專案內部的輸出流量：

kubectl --kubeconfig GLOBAL_API_SERVER apply -f - <<EOF
apiVersion: networking.global.gdc.goog/v1
kind: ProjectNetworkPolicy
metadata:
  namespace: PROJECT
  name: allow-intra-project-outbound-traffic
spec:
  policyType: Egress
  egress:
  - to:
    - projectSelector:
        projects:
          matchNames:
          - PROJECT
EOF

更改下列內容：

• GLOBAL_API_SERVER：全域 API 伺服器的 kubeconfig 路徑。詳情請參閱「全球和區域 API 伺服器」。 如果尚未為 API 伺服器產生 kubeconfig 檔案，請參閱「登入」一文瞭解詳情。
• PROJECT：您要允許專案內送出流量的專案名稱。