為代管服務建立專案網路政策

本頁面提供相關操作說明，說明如何在 Google Distributed Cloud (GDC) 實體隔離環境中，為代管服務建立專案網路政策。Google Cloud Distributed Cloud 代管服務是由 Google 建構及維護的服務。所有使用者預設都能使用這項功能，並可透過 GDC 網頁控制台或指令列存取。代管服務可以是 Google 開發的軟體，也可以是 Google 與 GDC 整合的開放原始碼軟體。

事前準備

如要為受管理服務設定建立專案網路政策，您必須具備下列條件：

• 必要的身分與存取權角色。詳情請參閱「準備預先定義的角色和存取權」。
• 現有專案。詳情請參閱「建立專案」一文。

為代管服務建立政策

根據預設，受管理服務只允許來自建立該服務的專案的連線。運算子可以使用專案網路政策，將代管服務公開給建立服務的專案以外的專案。

您可以為受管理服務建立全域政策，適用於機構中的所有區域。如要進一步瞭解 GDC 宇宙中的全域資源，請參閱多區域總覽。

為代管服務建立全域政策

下列 ProjectNetworkPolicy 會將資料庫服務 (DBS) 公開為代管服務：

kubectl --kubeconfig GLOBAL_API_SERVER apply -f - <<EOF
apiVersion: networking.global.gdc.goog/v1
kind: ProjectNetworkPolicy
metadata:
  namespace: PROJECT_1
  name: allow-inbound-traffic-from-project-2-to-dbs-service
spec:
  subject:
    subjectType: ManagedService
    managedServices:
      matchTypes:
      - 'dbs'
  ingress:
  - from:
    - projectSelector:
        projects:
          matchNames:
          - PROJECT_2
EOF

更改下列內容：

• GLOBAL_API_SERVER：全域 API 伺服器的 kubeconfig 路徑。詳情請參閱「全球和區域 API 伺服器」。如果尚未為 API 伺服器產生 kubeconfig 檔案，請參閱「登入」一文瞭解詳情。
• PROJECT_1：來源專案名稱。
• PROJECT_2 目的地專案。套用政策後，PROJECT_2 專案中的工作負載即可連線至 DBS 受管理服務中的工作負載。