Una política de red de la organización define el control de acceso a la red para los servicios administrados a nivel de la organización que se exponen a través de Google Distributed Cloud (GDC) con aislamiento físico. Puedes definir estos controles de acceso con el recurso OrganizationNetworkPolicy de la API de Networking.
Para obtener los permisos que necesitas para configurar la política de red de la organización, pídele a tu administrador de Identity and Access Management (IAM) de la organización que te otorgue el rol de administrador de políticas de red de la organización (org-network-policy-admin).
Puedes definir una política de red de la organización para los controles de acceso de los siguientes servicios administrados por GDC:
- Todos los servicios
- Consola de GDC
- Distributed Cloud CLI
- Servidor de la API global
- Sistemas de administración de claves (KMS)
- Almacenamiento de objetos
- Vertex AI
- Entre los servicios de Vertex AI que admite una política, se incluyen la API de Optical Character Recognition, la API de Speech-to-Text, la API de Translation y Workbench.
Política predeterminada
De forma predeterminada, los siguientes servicios administrados por GDC tienen los siguientes principios:
| Servicio de GDC | Principio |
|---|---|
| Todos los servicios | allow-all |
| Consola de GDC | allow-all |
| CLI de gcloud | allow-all |
| Servidor de la API global | deny-by-default |
| KMS | deny-by-default |
| Almacenamiento de objetos | deny-by-default |
| Vertex AI y los servicios compatibles | deny-by-default |
Ejemplo de política de red de la organización
A continuación, se muestra un ejemplo de un recurso OrganizationNetworkPolicy que permite que el tráfico de una dirección IP acceda a un servicio administrado por GDC.
kubectl --kubeconfig MANAGEMENT_API_SERVER apply -f - <<EOF
apiVersion: networking.gdc.goog/v1
kind: OrganizationNetworkPolicy
metadata:
name: POLICY_NAME
namespace: platform
spec:
subject:
services:
matchTypes:
- "SERVICE_NAME"
ingress:
- from:
- ipBlock:
cidr: IP_ADDRESS
- ipBlock:
cidr: IP_ADDRESS
EOF
Reemplaza las siguientes variables:
| Variable | Descripción |
|---|---|
| MANAGEMENT_API_SERVER | Es la ruta de acceso al archivo kubeconfig del servidor de API zonal. Si aún no generaste un archivo kubeconfig para el servidor de la API en la zona de destino, consulta Accede para obtener más detalles. |
| POLICY_NAME | Nombre que se le dará a la política. Por ejemplo, allow-ui-access. |
| SERVICE_NAME | Es el nombre del servicio al que se aplicará la política. Usa los siguientes valores para cada servicio:
|
| IP_ADDRESS | Es la dirección IP a la que se le permitirá el acceso. Por ejemplo, 10.251.0.0/24. También puedes agregar varias direcciones IP definiendo más de un campo ipBlock para cada dirección IP. |