Una política de red de la organización define el control de acceso a la red de los servicios gestionados a nivel de organización expuestos a través de Google Distributed Cloud (GDC) con aislamiento físico. Puedes definir estos controles de acceso mediante el recurso
OrganizationNetworkPolicy
de la
API Networking.
Para obtener los permisos que necesitas para configurar la política de red de la organización, pide al administrador de Gestión de Identidades y Accesos (IAM) de tu organización que te conceda el rol de administrador de la política de red de la organización (org-network-policy-admin).
Puedes definir una política de red de la organización para los controles de acceso de los siguientes servicios gestionados de GDC:
- Todos los servicios
- Consola de GDC
- CLI de Distributed Cloud
- Servidor de API global
- Sistemas de gestión de claves (KMS)
- Almacenamiento de objetos
- Vertex AI
- Entre los servicios de Vertex AI que admite una política se incluyen la API Optical Character Recognition, la API Speech-to-Text, la API Translation y Workbench.
Política predeterminada
De forma predeterminada, los siguientes servicios gestionados de GDC se rigen por los siguientes principios:
| Servicio de GDC | Principio |
|---|---|
| Todos los servicios | allow-all |
| Consola de GDC | allow-all |
| CLI de gdcloud | allow-all |
| Servidor de API global | deny-by-default |
| KMS | deny-by-default |
| Almacenamiento de objetos | deny-by-default |
| Vertex AI y servicios compatibles | deny-by-default |
Ejemplo de política de red de una organización
A continuación, se muestra un ejemplo de un recurso OrganizationNetworkPolicy que permite que el tráfico de una dirección IP acceda a un servicio gestionado de GDC.
kubectl --kubeconfig MANAGEMENT_API_SERVER apply -f - <<EOF
apiVersion: networking.gdc.goog/v1
kind: OrganizationNetworkPolicy
metadata:
name: POLICY_NAME
namespace: platform
spec:
subject:
services:
matchTypes:
- "SERVICE_NAME"
ingress:
- from:
- ipBlock:
cidr: IP_ADDRESS
- ipBlock:
cidr: IP_ADDRESS
EOF
Sustituye las siguientes variables:
| Variable | Descripción |
|---|---|
| MANAGEMENT_API_SERVER | Ruta de kubeconfig del servidor de la API zonal. Si aún no has generado un archivo kubeconfig para el servidor de la API en tu zona de destino, consulta la sección Iniciar sesión para obtener más información. |
| POLICY_NAME | El nombre que se le asignará a la política. Por ejemplo, allow-ui-access. |
| SERVICE_NAME | El nombre del servicio al que se aplicará la política. Usa los siguientes valores para cada servicio:
|
| IP_ADDRESS | La dirección IP a la que se le permite el acceso. Por ejemplo, 10.251.0.0/24. También puedes añadir varias direcciones IP definiendo más de un campo ipBlock para cada dirección IP. |