Une règle réseau d'organisation définit le contrôle des accès au réseau pour les services gérés au niveau de l'organisation exposés via Google Distributed Cloud (GDC) air-gapped. Vous pouvez définir ces contrôles d'accès à l'aide de la ressource OrganizationNetworkPolicy de l'API Networking.
Pour obtenir les autorisations nécessaires pour configurer la règle de réseau de l'organisation, demandez à votre administrateur IAM (Identity and Access Management) de l'organisation de vous attribuer le rôle Administrateur des règles de réseau de l'organisation (org-network-policy-admin).
Vous pouvez définir une règle de réseau d'organisation pour les contrôles d'accès aux services gérés GDC suivants :
- Tous les services
- Console GDC
- Distributed Cloud CLI
- Serveur d'API mondial
- Key Management Systems (KMS)
- Stockage d'objets
- Vertex AI
- Les services de Vertex AI compatibles avec une règle incluent l'API Optical Character Recognition, l'API Speech-to-Text, l'API Translation et Workbench.
Règle par défaut
Par défaut, les services gérés GDC suivants sont soumis aux principes suivants :
| Service GDC | Principe |
|---|---|
| Tous les services | allow-all |
| Console GDC | allow-all |
| gdcloud CLI | allow-all |
| Serveur d'API mondial | deny-by-default |
| KMS | deny-by-default |
| Stockage d'objets | deny-by-default |
| Vertex AI et services compatibles | deny-by-default |
Exemple de règle de réseau d'organisation
Voici un exemple de ressource OrganizationNetworkPolicy qui autorise le trafic provenant d'une adresse IP à accéder à un service géré GDC.
kubectl --kubeconfig MANAGEMENT_API_SERVER apply -f - <<EOF
apiVersion: networking.gdc.goog/v1
kind: OrganizationNetworkPolicy
metadata:
name: POLICY_NAME
namespace: platform
spec:
subject:
services:
matchTypes:
- "SERVICE_NAME"
ingress:
- from:
- ipBlock:
cidr: IP_ADDRESS
- ipBlock:
cidr: IP_ADDRESS
EOF
Remplacez les variables suivantes :
| Variable | Description |
|---|---|
| MANAGEMENT_API_SERVER | Chemin d'accès kubeconfig du serveur d'API zonal. Si vous n'avez pas encore généré de fichier kubeconfig pour le serveur d'API dans la zone cible, consultez Se connecter pour en savoir plus. |
| POLICY_NAME | Nom à attribuer à la règle. Par exemple, allow-ui-access. |
| SERVICE_NAME | Nom du service auquel appliquer la règle. Utilisez les valeurs suivantes pour chaque service :
|
| IP_ADDRESS | Adresse IP à laquelle autoriser l'accès. Par exemple, 10.251.0.0/24. Vous pouvez également ajouter plusieurs adresses IP en définissant plusieurs champs ipBlock pour chaque adresse IP. |