조직 네트워크 정책은 Google Distributed Cloud (GDC) 에어갭을 통해 노출되는 조직 수준 관리 서비스의 네트워크 액세스 제어를 정의합니다. 네트워킹 API의 OrganizationNetworkPolicy 리소스를 사용하여 이러한 액세스 제어를 정의할 수 있습니다.
조직 네트워크 정책을 구성하는 데 필요한 권한을 얻으려면 조직 ID 및 액세스 관리 (IAM) 관리자에게 조직 네트워크 정책 관리자 (org-network-policy-admin) 역할을 부여해 달라고 요청하세요.
다음 GDC 관리 서비스의 액세스 제어를 위한 조직 네트워크 정책을 정의할 수 있습니다.
- 모든 서비스
- GDC 콘솔
- Distributed Cloud CLI
- 전역 API 서버
- Key Management Systems (KMS)
- 객체 스토리지
- Vertex AI
- 정책이 지원하는 Vertex AI 내 서비스에는 광학 문자 인식 API, Speech-to-Text API, Translation API, Workbench가 있습니다.
기본 정책
기본적으로 다음 GDC 관리형 서비스에는 다음 원칙이 적용됩니다.
| GDC 서비스 | 원칙 |
|---|---|
| 모든 서비스 | allow-all |
| GDC 콘솔 | allow-all |
| gdcloud CLI | allow-all |
| 전역 API 서버 | deny-by-default |
| KMS | deny-by-default |
| 객체 스토리지 | deny-by-default |
| Vertex AI 및 지원되는 서비스 | deny-by-default |
조직 네트워크 정책 예시
다음은 IP 주소에서 GDC 관리 서비스에 액세스하도록 허용하는 OrganizationNetworkPolicy 리소스의 예입니다.
kubectl --kubeconfig MANAGEMENT_API_SERVER apply -f - <<EOF
apiVersion: networking.gdc.goog/v1
kind: OrganizationNetworkPolicy
metadata:
name: POLICY_NAME
namespace: platform
spec:
subject:
services:
matchTypes:
- "SERVICE_NAME"
ingress:
- from:
- ipBlock:
cidr: IP_ADDRESS
- ipBlock:
cidr: IP_ADDRESS
EOF
다음 변수를 바꿉니다.
| 변수 | 설명 |
|---|---|
| MANAGEMENT_API_SERVER | 영역 API 서버의 kubeconfig 경로입니다. 타겟 영역의 API 서버에 대한 kubeconfig 파일을 아직 생성하지 않은 경우 로그인에서 자세한 내용을 확인하세요. |
| POLICY_NAME | 정책에 지정할 이름입니다. 예를 들면 allow-ui-access입니다. |
| SERVICE_NAME | 정책을 적용할 서비스의 이름입니다. 각 서비스에 다음 값을 사용합니다.
|
| IP_ADDRESS | 액세스를 허용할 IP 주소입니다. 예를 들면 10.251.0.0/24입니다. 각 IP 주소에 대해 ipBlock 필드를 두 개 이상 정의하여 IP 주소를 여러 개 추가할 수도 있습니다. |