Crie políticas de rede de projetos para serviços geridos

Esta página fornece instruções para criar políticas de rede de projetos para serviços geridos no Google Distributed Cloud (GDC) air-gapped. Um serviço gerido do GDC é um serviço criado e mantido pela Google. Está disponível por predefinição para todos os utilizadores e pode ser acedida através da consola Web do GDC ou da linha de comandos. Os serviços geridos podem ser software desenvolvido pela Google ou software de código aberto que a Google integrou com o GDC.

Antes de começar

Para configurar políticas de rede de criação de projetos para serviços geridos, tem de ter o seguinte:

• As funções de identidade e acesso necessárias. Para mais informações, consulte o artigo Prepare funções e acesso predefinidos.
• Um projeto existente. Para mais informações, consulte Crie um projeto.

Crie uma política para um serviço gerido

Por predefinição, um serviço gerido só permite ligações do projeto que criou o serviço. Um operador pode expor o serviço gerido a projetos que não o projeto que criou o serviço através de uma política de rede do projeto.

Pode criar uma política global para um serviço gerido que se aplica a todas as zonas na sua organização. Para mais informações sobre os recursos globais num universo da GDC, consulte o artigo Vista geral de várias zonas.

Crie uma política global para um serviço gerido

O seguinte ProjectNetworkPolicy expõe a base de dados como serviço (DBS) como um serviço gerido:

kubectl --kubeconfig GLOBAL_API_SERVER apply -f - <<EOF
apiVersion: networking.global.gdc.goog/v1
kind: ProjectNetworkPolicy
metadata:
  namespace: PROJECT_1
  name: allow-inbound-traffic-from-project-2-to-dbs-service
spec:
  subject:
    subjectType: ManagedService
    managedServices:
      matchTypes:
      - 'dbs'
  ingress:
  - from:
    - projectSelector:
        projects:
          matchNames:
          - PROJECT_2
EOF

Substitua o seguinte:

• GLOBAL_API_SERVER: o caminho kubeconfig do servidor da API global. Para mais informações, consulte o artigo Servidores de API globais e zonais. Se ainda não gerou um ficheiro kubeconfig para o servidor da API, consulte o artigo Iniciar sessão para ver detalhes.
• PROJECT_1: o nome do projeto de origem.
• PROJECT_2 o projeto de destino. Após a aplicação da política, as cargas de trabalho no projeto PROJECT_2 podem estabelecer ligação a cargas de trabalho no serviço gerido de DBS.