配置入站和出站政策

本页面介绍如何为 VPC Service Controls 边界配置入站和出站政策

您可以为现有边界配置入站和出站政策,也可以在创建边界时添加入站和出站政策。

更新服务边界的入站和出站政策

控制台

  1. 在 Google Cloud 控制台导航菜单中,点击安全性,然后点击 VPC Service Controls

    转到 VPC Service Controls 页面

  2. 选择现有的服务边界。

  3. 点击修改

  4. 修改服务边界页面上,点击入站流量政策出站流量政策

  5. 展开您要修改的入站规则或出站规则。

  6. 部分中,修改您要更改的入站规则或出站规则属性。

    YAML 特性参考文档描述了 Google Cloud 控制台中显示的特性,但 Google Cloud 控制台使用的名称略有不同。

  7. 点击保存

gcloud

要更新边界政策,请运行以下命令之一,并将 variables 替换为适当的值:

gcloud access-context-manager perimeters update PERIMETER_NAME --set-ingress-policies=INGRESS-FILENAME.yaml

gcloud access-context-manager perimeters update PERIMETER_NAME --set-egress-policies=EGRESS-FILENAME.yaml

例如:

gcloud access-context-manager perimeters update my-perimeter --set-ingress-policies=my-ingress-rule.yaml

如需了解如何将入站和出站规则配置为 YAML 文件,请参阅入站规则参考出站规则参考

在创建边界期间设置入站和出站政策

控制台

  1. 在 Google Cloud 控制台导航菜单中,点击安全性,然后点击 VPC Service Controls

    转到 VPC Service Controls 页面

  2. 点击新建边界

    如需了解其他服务边界配置,请参阅创建服务边界

  3. 创建服务边界页面上,点击入站流量政策出站流量政策

  4. 点击添加规则

  5. 部分中,指定您要配置的入站或出站规则属性。

    YAML 特性参考文档描述了 Google Cloud 控制台中显示的特性,但 Google Cloud 控制台使用的名称略有不同。

  6. 点击创建

gcloud

在创建边界期间运行以下命令以创建入站/出站政策:

gcloud access-context-manager perimeters create PERIMETER_NAME --title=TITLE --ingress-policies=INGRESS-FILENAME.yaml --restricted-services=SERVICE --resources="projects/PROJECT"

gcloud access-context-manager perimeters create PERIMETER_NAME --title=TITLE --egress-policies=-EGRESS-FILENAME.yaml --restricted-services=SERVICE --resources="projects/PROJECT"

例如:

gcloud access-context-manager perimeters create my-perimeter --title=perimeter-for-project-1 --ingress-policies=my-ingress-rule.yaml --restricted-services=storage.googelapis.com --resources="projects/myproject"

如需了解如何将入站和出站规则配置为 YAML 文件,请参阅入站规则参考出站规则参考