Richtlinien für ein- und ausgehenden Traffic konfigurieren

Auf dieser Seite wird erläutert, wie Sie Richtlinien für ein- und ausgehenden Traffic für Ihren VPC Service Controls-Perimeter konfigurieren.

Die Richtlinien für ein- und ausgehenden Traffic können für vorhandene Perimeter konfiguriert werden oder enthalten sein, wenn ein Perimeter erstellt wird.

Richtlinien für ein- und ausgehenden Traffic für einen Dienstperimeter aktualisieren

Console

Klicken Sie im Navigationsmenü der Google Cloud Console auf Sicherheit und dann auf VPC Service Controls.

Zur Seite „VPC Service Controls“
Wählen Sie einen vorhandenen Dienstperimeter aus.
Klicken Sie auf Perimeter bearbeiten.
Klicken Sie im linken Menü auf Richtlinie für eingehenden Traffic oder Richtlinie für ausgehenden Traffic.
Legen Sie die gewünschten Werte für FROM-Attribute des API-Clients und TO-Attribute von Google Cloud-Ressourcen/-Diensten fest, die Sie verwenden möchten.
- Eine Liste der Regel für eingehenden Traffic finden Sie unter Referenz zu Regeln für eingehenden Traffic.
Hinweis: Wenn Sie "Alle Quellen" als Wert für das Quellattribut der Ingress-Regel angeben, lässt die Ingress-Richtlinie den Zugriff von jedem Netzwerk zu.
- Eine Liste der Regelattribute für ausgehenden Traffic finden Sie unter Referenz zu Regeln für ausgehenden Traffic. In der Referenz zum YAML-Attribut werden die gleichen Attribute beschrieben, die auch in der Google Cloud Console verfügbar sind. Die Google Cloud Console verwendet jedoch leicht abweichende Namen.
Klicken Sie auf Speichern.

gcloud

Führen Sie zum Aktualisieren einer Perimeterrichtlinie einen der folgenden Befehle aus. Ersetzen Sie dabei variables durch die entsprechenden Werte:

gcloud access-context-manager perimeters update PERIMETER_NAME --set-ingress-policies=INGRESS-FILENAME.yaml

gcloud access-context-manager perimeters update PERIMETER_NAME --set-egress-policies=EGRESS-FILENAME.yaml

Beispiel:

gcloud access-context-manager perimeters update my-perimeter --set-ingress-policies=my-ingress-rule.yaml

Richtlinien für ein- und ausgehenden Traffic während der Erstellung des Perimeters festlegen

Console

Klicken Sie im Navigationsmenü der Google Cloud Console auf Sicherheit und dann auf VPC Service Controls.

Zur Seite „VPC Service Controls“
Klicken Sie auf Neuer Perimeter.
Klicken Sie im linken Menü auf Richtlinie für eingehenden Traffic oder Richtlinie für ausgehenden Traffic.
Klicken Sie auf Regel hinzufügen.
Legen Sie die gewünschten Werte für FROM-Attribute des API-Clients und TO-Attribute von Google Cloud-Ressourcen/-Diensten fest, die Sie verwenden möchten.
- Eine Liste der Regel für eingehenden Traffic finden Sie unter Referenz zu Regeln für eingehenden Traffic.
Hinweis: Wenn Sie "Alle Quellen" als Wert für das Quellattribut der Ingress-Regel angeben, lässt die Ingress-Richtlinie den Zugriff von jedem Netzwerk zu.
- Eine Liste der Regelattribute für ausgehenden Traffic finden Sie unter Referenz zu Regeln für ausgehenden Traffic. In der Referenz zum YAML-Attribut werden die gleichen Attribute beschrieben, die auch in der Google Cloud Console verfügbar sind. Die Google Cloud Console verwendet jedoch leicht abweichende Namen.
Klicken Sie auf Perimeter erstellen.

gcloud

Führen Sie beim Erstellen eines Perimeters den folgenden Befehl aus, um eine Richtlinie für eingehenden und ausgehenden Traffic zu erstellen:

gcloud access-context-manager perimeters create PERIMETER_NAME --title=TITLE --ingress-policies=INGRESS-FILENAME.yaml --restricted-services=SERVICE --resources="projects/PROJECT"

gcloud access-context-manager perimeters create PERIMETER_NAME --title=TITLE --egress-policies=-EGRESS-FILENAME.yaml --restricted-services=SERVICE --resources="projects/PROJECT"

Beispiel:

gcloud access-context-manager perimeters create my-perimeter --title=perimeter-for-project-1 --ingress-policies=my-ingress-rule.yaml --restricted-services=storage.googelapis.com --resources="projects/myproject"