Uma política de rede da organização define o controle de acesso à rede para serviços gerenciados no nível da organização expostos pelo Google Distributed Cloud (GDC) isolado por air-gap. É possível definir esses controles de acesso usando o recurso
OrganizationNetworkPolicy
da
API Networking.
Para receber as permissões necessárias para configurar a política de rede da organização,
peça ao Identity and Access Management (IAM) da organização para conceder a você o papel de administrador de política de rede da organização (org-network-policy-admin).
É possível definir uma política de rede da organização para controles de acesso aos seguintes serviços gerenciados do GDC:
- Todos os serviços
- Console do GDC
- CLI do Distributed Cloud
- Servidor global de API
- Key Management Systems (KMS)
- Armazenamento de objetos
- Vertex AI
- Os serviços na Vertex AI compatíveis com uma política incluem a API Optical Character Recognition, API Speech-to-Text, API Translation e o Workbench.
Política padrão
Por padrão, os seguintes serviços gerenciados do GDC têm os seguintes princípios:
| Serviço do GDC | Princípio |
|---|---|
| Todos os serviços | allow-all |
| Console do GDC | allow-all |
| CLI gdcloud | allow-all |
| Servidor de API global | deny-by-default |
| KMS | deny-by-default |
| Armazenamento de objetos | deny-by-default |
| Vertex AI e serviços compatíveis | deny-by-default |
Exemplo de política de rede da organização
Confira a seguir um exemplo de um recurso OrganizationNetworkPolicy que
permite que o tráfego de um endereço IP acesse um serviço gerenciado
do GDC.
kubectl --kubeconfig MANAGEMENT_API_SERVER apply -f - <<EOF
apiVersion: networking.gdc.goog/v1
kind: OrganizationNetworkPolicy
metadata:
name: POLICY_NAME
namespace: platform
spec:
subject:
services:
matchTypes:
- "SERVICE_NAME"
ingress:
- from:
- ipBlock:
cidr: IP_ADDRESS
- ipBlock:
cidr: IP_ADDRESS
EOF
Substitua as seguintes variáveis:
| Variável | Descrição |
|---|---|
| MANAGEMENT_API_SERVER | O caminho kubeconfig do servidor da API zonal. Se você ainda não gerou um arquivo kubeconfig para o servidor da API na zona de destino, consulte Fazer login para mais detalhes. |
| POLICY_NAME | O nome da política. Por exemplo, allow-ui-access. |
| SERVICE_NAME | O nome do serviço a que a política será aplicada. Use os seguintes valores para cada serviço:
|
| IP_ADDRESS | O endereço IP para permitir o acesso. Por exemplo, 10.251.0.0/24 Também é possível adicionar vários endereços IP definindo mais de um campo ipBlock para cada endereço. |