创建组织网络政策

组织级网络政策用于定义通过 Google Distributed Cloud (GDC) 气隙公开的组织级托管服务的网络访问权限控制。您可以使用 Networking API 中的 OrganizationNetworkPolicy 资源来定义这些访问权限控制机制。

如需获得配置组织网络政策所需的权限,请让您的组织 Identity and Access Management (IAM) 管理员为您授予 Org Network Policy Admin (org-network-policy-admin) 角色。

您可以定义组织网络政策,以控制对以下 GDC 托管式服务的访问权限:

默认政策

默认情况下,以下 GDC 托管式服务遵循以下原则:

GDC 服务 原则
所有服务 allow-all
GDC 控制台 allow-all
gdcloud CLI allow-all
全局 API 服务器 deny-by-default
KMS deny-by-default
对象存储 deny-by-default
Vertex AI 和支持的服务 deny-by-default

组织网络政策示例

以下是一个 OrganizationNetworkPolicy 资源的示例,该资源允许来自某个 IP 地址的流量访问 GDC 代管式服务。

   kubectl --kubeconfig MANAGEMENT_API_SERVER apply -f - <<EOF
   apiVersion: networking.gdc.goog/v1
   kind: OrganizationNetworkPolicy
   metadata:
     name: POLICY_NAME
     namespace: platform
   spec:
     subject:
       services:
         matchTypes:
         - "SERVICE_NAME"
     ingress:
       - from:
         - ipBlock:
             cidr: IP_ADDRESS
         - ipBlock:
             cidr: IP_ADDRESS
   EOF

执行以下变量替换操作:

变量 说明
MANAGEMENT_API_SERVER 区域 API 服务器的 kubeconfig 路径。如果您尚未为目标可用区中的 API 服务器生成 kubeconfig 文件,请参阅登录了解详情。
POLICY_NAME 要为政策指定的名称。

例如,allow-ui-access
SERVICE_NAME 要应用政策的服务的名称。为每项服务使用以下值:
  • 所有服务all
  • GDC 控制台ui-console
  • gdcloud CLIapi-server
  • 全球 API 服务器global-api-server
  • KMSkms
  • 对象存储object-storage
  • Vertex AIai
IP_ADDRESS 允许访问的 IP 地址。例如 10.251.0.0/24。您还可以通过为每个 IP 地址定义多个 ipBlock 字段来添加多个 IP 地址。