Eine Organisationsnetzwerkrichtlinie definiert die Netzwerkzugriffssteuerung für verwaltete Dienste auf Organisationsebene, die über Google Distributed Cloud (GDC) air-gapped bereitgestellt werden. Sie können diese Zugriffssteuerungen mit der OrganizationNetworkPolicy-Ressource aus der Networking API definieren.
Bitten Sie Ihren Organisations-IAM-Administrator (Identity and Access Management), Ihnen die Rolle „Org Network Policy Admin“ (org-network-policy-admin) zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Konfigurieren der Organisationsnetzwerkrichtlinie benötigen.
Sie können eine Organisationsnetzwerkrichtlinie für Zugriffssteuerungen für die folgenden von GDC verwalteten Dienste definieren:
- Alle Dienste
- GDC-Konsole
- Distributed Cloud CLI
- Globaler API-Server
- Key Management Systems (KMS)
- Objektspeicher
- Vertex AI
- Zu den Diensten in Vertex AI, die von einer Richtlinie unterstützt werden, gehören die Optical Character Recognition API, die Speech-to-Text API, die Translation API und Workbench.
Standardrichtlinie
Standardmäßig gelten für die folgenden von GDC verwalteten Dienste die folgenden Grundsätze:
| GDC-Dienst | Grundsatz |
|---|---|
| Alle Dienste | allow-all |
| GDC-Konsole | allow-all |
| gdcloud-Befehlszeile | allow-all |
| Globaler API-Server | deny-by-default |
| KMS | deny-by-default |
| Objektspeicher | deny-by-default |
| Vertex AI und unterstützte Dienste | deny-by-default |
Beispiel für eine Organisationsnetzwerkrichtlinie
Im Folgenden sehen Sie ein Beispiel für eine OrganizationNetworkPolicy-Ressource, die es Traffic von einer IP-Adresse ermöglicht, auf einen von GDC verwalteten Dienst zuzugreifen.
kubectl --kubeconfig MANAGEMENT_API_SERVER apply -f - <<EOF
apiVersion: networking.gdc.goog/v1
kind: OrganizationNetworkPolicy
metadata:
name: POLICY_NAME
namespace: platform
spec:
subject:
services:
matchTypes:
- "SERVICE_NAME"
ingress:
- from:
- ipBlock:
cidr: IP_ADDRESS
- ipBlock:
cidr: IP_ADDRESS
EOF
Ersetzen Sie die folgenden Variablen:
| Variable | Beschreibung |
|---|---|
| MANAGEMENT_API_SERVER | Der kubeconfig-Pfad des zonalen API-Servers. Wenn Sie noch keine kubeconfig-Datei für den API-Server in Ihrer Zielzone generiert haben, finden Sie weitere Informationen unter Anmelden. |
| POLICY_NAME | Der Name, den Sie der Richtlinie geben möchten. Beispiel: allow-ui-access. |
| SERVICE_NAME | Der Name des Dienstes, auf den die Richtlinie angewendet werden soll. Verwenden Sie die folgenden Werte für die einzelnen Dienste:
|
| IP_ADDRESS | Die IP-Adresse, für die der Zugriff erlaubt werden soll. Beispiel: 10.251.0.0/24. Sie können auch mehrere IP-Adressen hinzufügen, indem Sie für jede IP-Adresse mehr als ein ipBlock-Feld definieren. |