組織ネットワーク ポリシーは、Google Distributed Cloud(GDC)エアギャップを介して公開される組織レベルのマネージド サービスのネットワーク アクセス制御を定義します。これらのアクセス制御は、Networking API の OrganizationNetworkPolicy リソースを使用して定義できます。
組織のネットワーク ポリシーを構成するために必要な権限を取得するには、組織の Identity and Access Management(IAM)管理者に Org ネットワーク ポリシー管理者(org-network-policy-admin)ロールの付与を依頼します。
次の GDC マネージド サービスのアクセス制御に、組織のネットワーク ポリシーを定義できます。
- すべてのサービス
- GDC コンソール
- Distributed Cloud CLI
- グローバル API サーバー
- 鍵管理システム(KMS)
- オブジェクト ストレージ
- Vertex AI
- ポリシーでサポートされている Vertex AI 内のサービスには、光学式文字認識 API、Speech-to-Text API、Translation API、Workbench などがあります。
デフォルト ポリシー
デフォルトでは、次の GDC マネージド サービスには次の原則が適用されます。
| GDC サービス | 原則 |
|---|---|
| すべてのサービス | allow-all |
| GDC コンソール | allow-all |
| gdcloud CLI | allow-all |
| グローバル API サーバー | deny-by-default |
| KMS | deny-by-default |
| オブジェクト ストレージ | deny-by-default |
| Vertex AI とサポートされているサービス | deny-by-default |
組織のネットワーク ポリシーの例
次の例は、IP アドレスからのトラフィックが GDC マネージド サービスにアクセスできるようにする OrganizationNetworkPolicy リソースの例です。
kubectl --kubeconfig MANAGEMENT_API_SERVER apply -f - <<EOF
apiVersion: networking.gdc.goog/v1
kind: OrganizationNetworkPolicy
metadata:
name: POLICY_NAME
namespace: platform
spec:
subject:
services:
matchTypes:
- "SERVICE_NAME"
ingress:
- from:
- ipBlock:
cidr: IP_ADDRESS
- ipBlock:
cidr: IP_ADDRESS
EOF
次の変数を置き換えます。
| 変数 | 説明 |
|---|---|
| MANAGEMENT_API_SERVER | ゾーン API サーバーの kubeconfig パス。ターゲット ゾーンの API サーバーの kubeconfig ファイルをまだ生成していない場合は、ログインをご覧ください。 |
| POLICY_NAME | ポリシーに付ける名前。 例: allow-ui-access |
| SERVICE_NAME | ポリシーを適用するサービスの名前。各サービスに次の値を使用します。
|
| IP_ADDRESS | アクセスを許可する IP アドレス。たとえば、「10.251.0.0/24」のようになります。各 IP アドレスに複数の ipBlock フィールドを定義することで、複数の IP アドレスを追加することもできます。 |