Diese Seite wurde von der Cloud Translation API übersetzt.

Organisationsübergreifende Traffic-Netzwerkrichtlinien erstellen

Auf dieser Seite finden Sie eine Anleitung zum Konfigurieren von Netzwerkrichtlinien für organisationsübergreifenden Traffic in Google Distributed Cloud (GDC) Air-Gapped.

Organisationsübergreifender Traffic bezieht sich auf die Kommunikation zwischen Diensten und Arbeitslasten verschiedener Organisationen.

Hinweise

Zum Konfigurieren von organisationsübergreifenden Traffic-Netzwerkrichtlinien benötigen Sie Folgendes:

Die erforderlichen Identitäts- und Zugriffsrollen. Weitere Informationen finden Sie unter Vordefinierte Rollen und Zugriff vorbereiten.
Ein vorhandenes Projekt. Weitere Informationen finden Sie unter Projekt erstellen.
Schutz vor Daten-Exfiltration deaktivieren
Eine der folgenden Netzwerkkonfigurationen:
- Organisationen, die eine gemeinsame InterconnectAttachmentGroup verwenden.
- Organisationen, die die Konnektivität über ihre jeweiligen externen Peering-Netzwerke nutzen.

Organisationsübergreifende Traffic-Richtlinie erstellen

Sie können Richtlinien für organisationsübergreifenden eingehenden oder ausgehenden Traffic definieren, um die Kommunikation zwischen Diensten und Arbeitslasten aus verschiedenen Organisationen zu verwalten.

Organisationsübergreifender Traffic bezieht sich auf die Kommunikation zwischen Diensten und Arbeitslasten verschiedener Organisationen.

Sie können globale netzwerkübergreifende Richtlinien für Traffic-Projekte erstellen, die für Traffic in allen Zonen Ihrer Organisation gelten. Weitere Informationen zu globalen Ressourcen in einem GDC-Universum finden Sie unter Übersicht über mehrere Zonen.

Wenn Sie Dienste und Arbeitslasten mit einem Ziel außerhalb Ihres Projekts in einer anderen Organisation verbinden möchten, ist eine explizite Genehmigung erforderlich. Sie müssen den Schutz vor Daten-Exfiltration deaktivieren, um organisationsübergreifenden Traffic zuzulassen.

Globale Firewallregel für eingehenden Traffic für organisationsübergreifenden Traffic erstellen

Wenn Sie Arbeitslasten in Ihrem Projekt über einen externen Load Balancer bereitstellen, müssen Sie auch eine ProjectNetworkPolicy-Ingress-Richtlinie erstellen, damit externe Client-IP-Adressen auf die Arbeitslasten zugreifen können.

Diese globale Ingress-Richtlinie gilt für alle Zonen in Ihrer Organisation.

Führen Sie die folgenden Schritte aus, um eine neue Firewallregel zu erstellen und eingehenden Traffic von Arbeitslasten in einem Projekt einer anderen Organisation zuzulassen:

Console

Rufen Sie in der GDC Console des Projekts, das Sie konfigurieren, im Navigationsmenü Netzwerk > Firewall auf, um die Seite Firewall zu öffnen.
Klicken Sie in der Aktionsleiste auf Erstellen, um eine neue Firewallregel zu erstellen.
Geben Sie auf der Seite Details zur Firewallregel die folgenden Informationen an:
1. Geben Sie im Feld Name einen gültigen Namen für die Firewallregel ein.
2. Wählen Sie im Bereich Trafficrichtung die Option Eingehender Traffic aus, um eingehenden Traffic von Arbeitslasten in anderen Organisationen zuzulassen.
3. Wählen Sie im Bereich Ziel eine der folgenden Optionen aus:
  - Alle Nutzerarbeitslasten:Verbindungen zu den Arbeitslasten des Projekts, das Sie konfigurieren, sind zulässig.
  - Dienst:Geben Sie an, dass diese Firewallregel auf einen bestimmten Dienst in dem Projekt ausgerichtet ist, das Sie konfigurieren.
4. Wenn Ihr Ziel ein Projektdienst ist, wählen Sie den Namen des Dienstes aus der Liste der verfügbaren Dienste im Drop-down-Menü Dienst aus.
5. Wählen Sie im Abschnitt Von die Option Außerhalb der Organisation aus und geben Sie den CIDR-Block einer anderen Organisation in das Feld CIDR ein, um Verbindungen aus dem Netzwerk dieser Organisation zuzulassen.
6. Wenn Ihr Ziel alle Nutzerarbeitslasten sind, wählen Sie im Bereich Protokolle und Ports eine der folgenden Optionen aus:
  - Alle zulassen:Verbindungen über ein beliebiges Protokoll oder einen beliebigen Port zulassen.
  - Angegebene Protokolle und Ports:Verbindungen sind nur über die Protokolle und Ports zulässig, die Sie in den entsprechenden Feldern für die Firewallregel für eingehenden Traffic angeben.
Klicken Sie auf der Seite Details zur Firewallregel auf Erstellen.

Sie haben jetzt Verbindungen von Projektarbeitslasten einer anderen Organisation zugelassen. Nachdem Sie die Firewallregel erstellt haben, wird sie in einer Tabelle auf der Seite Firewall angezeigt.

API

Konfigurieren und wenden Sie Ihre eigene benutzerdefinierte ProjectNetworkPolicy-Ingress-Richtlinie an:

kubectl --kubeconfig GLOBAL_API_SERVER apply -f - <<EOF
apiVersion: networking.global.gdc.goog/v1
kind: ProjectNetworkPolicy
metadata:
  namespace: PROJECT
  name: allow-inbound-traffic-from-external
spec:
  policyType: Ingress
  subject:
    subjectType: UserWorkload
  ingress:
  - from:
    - ipBlock:
        cidr: CIDR
EOF

Ersetzen Sie Folgendes:

GLOBAL_API_SERVER: Der kubeconfig-Pfad des globalen API-Servers. Weitere Informationen finden Sie unter Globale und zonale API-Server. Wenn Sie noch keine kubeconfig-Datei für den API-Server generiert haben, finden Sie weitere Informationen unter Anmelden.
PROJECT: der Name des GDC-Projekts.
CIDR: Der CIDR-Block einer anderen Organisation.

Diese Richtlinie ist erforderlich, da der externe Load-Balancer DSR (Direct Server Return) verwendet. Dadurch wird die externe Quell-IP-Adresse beibehalten und der Load-Balancer auf dem Rückgabepfad umgangen.

Globale Firewallregel für ausgehenden Traffic für organisationsübergreifenden Traffic erstellen

Wenn Sie Daten an Dienste außerhalb der Organisation übertragen möchten, müssen Sie zuerst den Schutz vor Daten-Exfiltration deaktivieren. Anschließend müssen Sie eine Firewallregel für ausgehenden Traffic konfigurieren, um ausgehenden Traffic von den Arbeitslasten oder Diensten Ihres Projekts zuzulassen.

In diesem Abschnitt wird beschrieben, wie Sie ausgehenden Traffic auf Projektebene aktivieren. Informationen zum Verwalten der Egress-Konnektivität auf Arbeitslast-Ebene finden Sie unter Ausgehenden Traffic von Arbeitslasten verwalten.

Diese globale Firewallregel für ausgehenden Traffic gilt für alle Zonen in Ihrer Organisation.

Führen Sie die folgenden Schritte aus, um eine neue Firewallregel zu erstellen und ausgehenden Traffic von Projekt-Workloads oder ‑Diensten zu Workloads in einer anderen Organisation zuzulassen:

Console

Rufen Sie in der GDC Console des Projekts, das Sie konfigurieren, im Navigationsmenü Netzwerk > Firewall auf, um die Seite Firewall zu öffnen.
Klicken Sie in der Aktionsleiste auf Erstellen, um eine neue Firewallregel zu erstellen.
Geben Sie auf der Seite Details zur Firewallregel die folgenden Informationen an:
1. Geben Sie im Feld Name einen gültigen Namen für die Firewallregel ein.
2. Wählen Sie im Bereich Trafficrichtung die Option Ausgehender Traffic aus, um anzugeben, dass diese Firewallregel ausgehenden Traffic steuert.
3. Wählen Sie im Bereich Ziel eine der folgenden Optionen aus:
  - Alle Nutzerarbeitslasten:Verbindungen von den Arbeitslasten des Projekts, das Sie konfigurieren, zulassen.
  - Dienst:Geben Sie an, dass diese Firewallregel auf einen bestimmten Dienst in dem Projekt ausgerichtet ist, das Sie konfigurieren.
4. Wenn Ihr Ziel ein Projektdienst ist, wählen Sie den Namen des Dienstes aus der Liste der verfügbaren Dienste im Drop-down-Menü Dienst aus.
5. Wählen Sie im Bereich An die Option Außerhalb der Organisation aus und geben Sie den CIDR-Block einer anderen Organisation in das Feld CIDR ein, um Verbindungen zum Netzwerk dieser Organisation zuzulassen.
6. Wenn Ihr Ziel alle Nutzerarbeitslasten sind, wählen Sie im Bereich Protokolle und Ports eine der folgenden Optionen aus:
  - Alle zulassen:Verbindungen über ein beliebiges Protokoll oder einen beliebigen Port zulassen.
  - Angegebene Protokolle und Ports:Verbindungen sind nur über die Protokolle und Ports zulässig, die Sie in den entsprechenden Feldern für die Firewallregel für ausgehenden Traffic angeben.
Klicken Sie auf der Seite Details zur Firewallregel auf Erstellen.

Sie haben jetzt Verbindungen zu einer anderen Organisation zugelassen. Nachdem Sie die Firewallregel erstellt haben, wird sie in einer Tabelle auf der Seite Firewall angezeigt.

API

Wenn Sie ausgehenden Traffic zu Diensten außerhalb der Organisation zulassen möchten, passen Sie die ProjectNetworkPolicy-Ressource an. Da die Verhinderung von Datenexfiltration jedoch standardmäßig aktiviert ist, wird für Ihre benutzerdefinierte ProjectNetworkPolicy-Ausgangsrichtlinie im Statusfeld ein Validierungsfehler angezeigt und der Dataplane ignoriert sie. Dieses Verhalten ist so vorgesehen.

Sie können Arbeitslasten aus einem bestimmten Projekt übertragen, wenn Sie den Datenexport für dieses Projekt zulassen. Der ausgehende Traffic, den Sie zulassen, ist eine Quell-NAT (Network Address Translation) mit einer bekannten IP-Adresse, die dem Projekt zugewiesen ist.

So aktivieren Sie Ihre benutzerdefinierte Richtlinie für ausgehenden Traffic:

Sie können eine eigene benutzerdefinierte ProjectNetworkPolicy-Richtlinie für ausgehenden Traffic für alle Nutzerarbeitslasten in einem Projekt konfigurieren und anwenden.

Verwenden Sie das folgende Beispiel:
```
kubectl --kubeconfig GLOBAL_API_SERVER apply -f - <<EOF
apiVersion: networking.global.gdc.goog/v1
kind: ProjectNetworkPolicy
metadata:
  namespace: PROJECT
  name: allow-outbound-traffic-to-external
spec:
  subject:
    subjectType: UserWorkload
  egress:
  - to:
    - ipBlock:
        cidr: CIDR
EOF
```
Die Richtlinie lässt ausgehenden Traffic zu allen Hosts im CIDR-Block zu, die sich außerhalb der Organisation befinden. Bei Ihrem ersten Versuch muss ein beabsichtigter und notwendiger Statusfehler auftreten.
Prüfen Sie, ob in Ihrem Status ein Validierungsfehler angezeigt wird.

Wichtig :Nur der ausgehende Traffic zu Zielen außerhalb der Organisation Ihres Projekts, den Sie explizit in der Konfiguration Ihrer ProjectNetworkPolicy-Richtlinie für ausgehenden Traffic zulassen, wird gewährt. Anderer ausgehender Traffic wird abgelehnt. Wenden Sie daher nur dann eine benutzerdefinierte ProjectNetworkPolicy-Ausgangsrichtlinie an, wenn dies aufgrund von Anforderungen erforderlich ist.
Bitten Sie den IAM-Administrator der Organisation, die Verhinderung von Daten-Exfiltration zu deaktivieren. Durch diese Aktion wird Ihre Konfiguration aktiviert, während der gesamte andere ausgehende Traffic verhindert wird.

Wichtig :Wenn Sie den Schutz vor Daten-Exfiltration deaktivieren, ohne eine oder mehrere gültige ProjectNetworkPolicy-Ressourcen zu definieren, ist der gesamte ausgehende Traffic zu Zielen außerhalb der Organisation Ihres Projekts zulässig. Deaktivieren Sie diese Einstellung niemals, ohne Ihre benutzerdefinierte ProjectNetworkPolicy-Richtlinie für ausgehenden Traffic zu konfigurieren.
Prüfen Sie die erstellte ProjectNetworkPolicy und vergewissern Sie sich, dass der Fehler im Feld „Validierungsstatus“ behoben wurde und der Status Ready True lautet. Das bedeutet, dass Ihre Richtlinie in Kraft ist:
```
kubectl --kubeconfig GLOBAL_API_SERVER \
    get projectnetworkpolicy allow-outbound-traffic-to-external \
    -n PROJECT -o yaml
```
Ersetzen Sie Folgendes:
- GLOBAL_API_SERVER: Der kubeconfig-Pfad des globalen API-Servers. Weitere Informationen finden Sie unter Globale und zonale API-Server. Wenn Sie noch keine kubeconfig-Datei für den API-Server generiert haben, finden Sie weitere Informationen unter Anmelden.
- PROJECT: der Name des GDC-Projekts.

Nachdem Sie diese Richtlinie angewendet haben und sofern Sie keine anderen Richtlinien für ausgehenden Traffic definiert haben, wird der gesamte andere ausgehende Traffic für PROJECT abgelehnt.

Organisationsübergreifende Traffic-Netzwerkrichtlinien erstellen Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Hinweise

Organisationsübergreifende Traffic-Richtlinie erstellen

Globale Firewallregel für eingehenden Traffic für organisationsübergreifenden Traffic erstellen

Console

API

Globale Firewallregel für ausgehenden Traffic für organisationsübergreifenden Traffic erstellen

Console

API

Organisationsübergreifende Traffic-Netzwerkrichtlinien erstellen