配置入站和出站政策

本页面介绍如何为 VPC Service Controls 边界配置入站和出站政策

您可以为现有边界配置入站和出站政策,也可以在创建边界时添加入站和出站政策。

更新服务边界的入站和出站政策

控制台

  1. 在 Google Cloud 控制台导航菜单中,点击安全性,然后点击 VPC Service Controls

    转到 VPC Service Controls 页面

  2. 选择现有的服务边界。

  3. 点击修改边界

  4. 在左侧菜单中,点击入站流量政策出站流量政策

  5. 指定所需的 API 客户端的“来自于”特性Google Cloud 资源/服务的“至”特性

    • 如需查看出站规则特性的列表,请参阅出站规则参考。YAML 特性参考文档描述了 Google Cloud 控制台中显示的特性,但 Google Cloud 控制台使用的名称略有不同。

  6. 点击保存

gcloud

要更新边界政策,请运行以下命令之一,并将 variables 替换为适当的值:

gcloud access-context-manager perimeters update PERIMETER_NAME --set-ingress-policies=INGRESS-FILENAME.yaml

gcloud access-context-manager perimeters update PERIMETER_NAME --set-egress-policies=EGRESS-FILENAME.yaml

例如:

gcloud access-context-manager perimeters update my-perimeter --set-ingress-policies=my-ingress-rule.yaml

在创建边界期间设置入站和出站政策

控制台

  1. 在 Google Cloud 控制台导航菜单中,点击安全性,然后点击 VPC Service Controls

    转到 VPC Service Controls 页面

  2. 点击新建边界

  3. 在左侧菜单中,点击入站流量政策出站流量政策

  4. 点击添加规则

  5. 指定所需的 API 客户端的“来自于”特性Google Cloud 资源/服务的“至”特性

    • 如需查看出站规则特性的列表,请参阅出站规则参考。YAML 特性参考文档描述了 Google Cloud 控制台中显示的特性,但 Google Cloud 控制台使用的名称略有不同。

  6. 点击创建边界

gcloud

在创建边界期间运行以下命令以创建入站/出站政策:

gcloud access-context-manager perimeters create PERIMETER_NAME --title=TITLE --ingress-policies=INGRESS-FILENAME.yaml --restricted-services=SERVICE --resources="projects/PROJECT"

gcloud access-context-manager perimeters create PERIMETER_NAME --title=TITLE --egress-policies=-EGRESS-FILENAME.yaml --restricted-services=SERVICE --resources="projects/PROJECT"

例如:

gcloud access-context-manager perimeters create my-perimeter --title=perimeter-for-project-1 --ingress-policies=my-ingress-rule.yaml --restricted-services=storage.googelapis.com --resources="projects/myproject"