Un criterio di rete dell'organizzazione definisce il controllo dell'accesso alla rete per i servizi gestiti a livello di organizzazione esposti tramite Google Distributed Cloud (GDC) air-gapped. Puoi definire questi controlli dell'accesso utilizzando la risorsa
OrganizationNetworkPolicy
dell'API Networking.
Per ottenere le autorizzazioni necessarie per configurare la policy di rete dell'organizzazione, chiedi all'amministratore di Identity and Access Management (IAM) dell'organizzazione di concederti il ruolo Amministratore policy di rete dell'organizzazione (org-network-policy-admin).
Puoi definire un criterio di rete dell'organizzazione per i controlli dell'accesso per i seguenti servizi gestiti da GDC:
- Tutti i servizi
- Console GDC
- Distributed Cloud CLI
- Server API globale
- Key Management Systems (KMS)
- Archiviazione di oggetti
- Vertex AI
- I servizi all'interno di Vertex AI supportati da un criterio includono l'API Optical Character Recognition, l'API Speech-to-Text, l'API Translation e Workbench.
Policy predefinita
Per impostazione predefinita, i seguenti servizi gestiti GDC hanno i seguenti principi:
| Servizio GDC | Principio |
|---|---|
| Tutti i servizi | allow-all |
| Console GDC | allow-all |
| interfaccia a riga di comando gcloud | allow-all |
| Server API globale | deny-by-default |
| KMS | deny-by-default |
| Archiviazione di oggetti | deny-by-default |
| Vertex AI e servizi supportati | deny-by-default |
Esempio di policy di rete dell'organizzazione
Di seguito è riportato un esempio di risorsa OrganizationNetworkPolicy che
consente al traffico proveniente da un indirizzo IP di accedere a un servizio gestito GDC.
kubectl --kubeconfig MANAGEMENT_API_SERVER apply -f - <<EOF
apiVersion: networking.gdc.goog/v1
kind: OrganizationNetworkPolicy
metadata:
name: POLICY_NAME
namespace: platform
spec:
subject:
services:
matchTypes:
- "SERVICE_NAME"
ingress:
- from:
- ipBlock:
cidr: IP_ADDRESS
- ipBlock:
cidr: IP_ADDRESS
EOF
Sostituisci le seguenti variabili:
| Variabile | Descrizione |
|---|---|
| MANAGEMENT_API_SERVER | Il percorso kubeconfig del server API zonale. Se non hai ancora generato un file kubeconfig per il server API nella zona di destinazione, consulta Accedi per i dettagli. |
| POLICY_NAME | Il nome da assegnare al criterio. Ad esempio, allow-ui-access. |
| SERVICE_NAME | Il nome del servizio a cui applicare il criterio. Utilizza i seguenti valori per ogni servizio:
|
| IP_ADDRESS | L'indirizzo IP per consentire l'accesso. Ad esempio, 10.251.0.0/24. Puoi anche aggiungere più indirizzi IP definendo più di un campo ipBlock per ogni indirizzo IP. |