创建组织网络政策

组织级网络政策用于定义通过 Google Distributed Cloud (GDC) 气隙公开的组织级托管服务的网络访问权限控制。您可以使用 Networking API 中的 OrganizationNetworkPolicy 资源来定义这些访问权限控制机制。

如需获得配置组织网络政策所需的权限，请让您的组织 Identity and Access Management (IAM) 管理员为您授予 Org Network Policy Admin (org-network-policy-admin) 角色。

您可以定义组织网络政策，以控制对以下 GDC 托管式服务的访问权限：

• 所有服务
• GDC 控制台
• Distributed Cloud CLI
• 全局 API 服务器
• Key Management Systems (KMS)
• 对象存储
• Vertex AI
  • 政策支持的 Vertex AI 服务包括 Optical Character Recognition API、Speech-to-Text API、Translation API 和 Workbench。

默认政策

默认情况下，以下 GDC 托管式服务遵循以下原则：

组织网络政策示例

以下是一个 OrganizationNetworkPolicy 资源的示例，该资源允许来自某个 IP 地址的流量访问 GDC 代管式服务。

   kubectl --kubeconfig MANAGEMENT_API_SERVER apply -f - <<EOF
   apiVersion: networking.gdc.goog/v1
   kind: OrganizationNetworkPolicy
   metadata:
     name: POLICY_NAME
     namespace: platform
   spec:
     subject:
       services:
         matchTypes:
         - "SERVICE_NAME"
     ingress:
       - from:
         - ipBlock:
             cidr: IP_ADDRESS
         - ipBlock:
             cidr: IP_ADDRESS
   EOF

执行以下变量替换操作：