En esta página se proporcionan instrucciones para crear políticas de red de proyectos para servicios gestionados en Google Distributed Cloud (GDC) con air gap. Un servicio gestionado de GDC es un servicio creado y mantenido por Google. Está disponible de forma predeterminada para todos los usuarios y se puede acceder a ella a través de la consola web de GDC o mediante la línea de comandos. Los servicios gestionados pueden ser software desarrollado por Google o software de código abierto que Google haya integrado en GDC.
Antes de empezar
Para configurar políticas de red de creación de proyectos para servicios gestionados, debes tener lo siguiente:
- Los roles de identidad y acceso necesarios. Para obtener más información, consulta Preparar roles y acceso predefinidos.
- Un proyecto que ya tengas. Para obtener más información, consulta Crear un proyecto.
Crear una política para un servicio gestionado
De forma predeterminada, un servicio gestionado solo permite conexiones del proyecto que creó el servicio. Un operador puede exponer el servicio gestionado a proyectos distintos del proyecto que creó el servicio mediante una política de red de proyecto.
Puedes crear una política global para un servicio gestionado que se aplique a todas las zonas de tu organización. Para obtener más información sobre los recursos globales en un universo de GDC, consulta el artículo Descripción general de las multizonas.
Crear una política global para un servicio gestionado
El siguiente ProjectNetworkPolicy expone el servicio de base de datos (DBS) como un servicio gestionado:
kubectl --kubeconfig GLOBAL_API_SERVER apply -f - <<EOF
apiVersion: networking.global.gdc.goog/v1
kind: ProjectNetworkPolicy
metadata:
namespace: PROJECT_1
name: allow-inbound-traffic-from-project-2-to-dbs-service
spec:
subject:
subjectType: ManagedService
managedServices:
matchTypes:
- 'dbs'
ingress:
- from:
- projectSelector:
projects:
matchNames:
- PROJECT_2
EOF
Haz los cambios siguientes:
GLOBAL_API_SERVER: la ruta de kubeconfig del servidor de API global. Para obtener más información, consulta Servidores de APIs globales y zonales. Si aún no has generado un archivo kubeconfig para el servidor de la API, consulta la sección Iniciar sesión para obtener más información.PROJECT_1: nombre del proyecto de origen.PROJECT_2el proyecto de destino. Después de aplicar la política, las cargas de trabajo del proyectoPROJECT_2pueden conectarse a las cargas de trabajo del servicio gestionado de DBS.