Netzwerkrichtlinien für „Alle zulassen“-Traffic erstellen

Auf dieser Seite finden Sie eine Anleitung zum Konfigurieren von Netzwerkrichtlinien für „Alle zulassen“-Traffic in Google Distributed Cloud (GDC) mit Air Gap.

In Projektnetzwerkrichtlinien werden Regeln für eingehenden oder ausgehenden Traffic definiert. Sie können Richtlinien definieren, die die Kommunikation innerhalb von Projekten, zwischen Projekten und mit externen IP-Adressen zulassen.

Hinweise

Zum Konfigurieren von Netzwerkrichtlinien für „Alle zulassen“-Traffic benötigen Sie Folgendes:

• Die erforderlichen Identitäts- und Zugriffsrollen. Weitere Informationen finden Sie unter Vordefinierte Rollen und Zugriff vorbereiten.
• Ein vorhandenes Projekt. Weitere Informationen finden Sie unter Projekt erstellen.

Richtlinie für „Alle Zugriffe zulassen“ erstellen

Diese Richtlinie lässt Traffic zu und von jeder Quelle zu, einschließlich anderer Projekte und externer IP-Adressen.

Gesamten eingehenden Traffic zulassen

Wenn Sie allen eingehenden Traffic von einer beliebigen Quelle zu allen Arbeitslasten in Ihrem Projekt zulassen möchten, erstellen Sie die folgende Richtlinie:

kubectl --kubeconfig GLOBAL_API_SERVER apply -f - <<EOF
apiVersion: networking.global.gdc.goog/v1
kind: ProjectNetworkPolicy
metadata:
  namespace: PROJECT
  name: allow-all-ingress
spec:
  policyType: Ingress
  ingress:
  - {}
EOF

Den gesamten ausgehenden Traffic zulassen

Wenn Sie zulassen möchten, dass alle ausgehenden Zugriffe von allen Arbeitslasten in Ihrem Projekt an ein beliebiges Ziel erfolgen, erstellen Sie die folgende Richtlinie:

kubectl --kubeconfig GLOBAL_API_SERVER apply -f - <<EOF
apiVersion: networking.global.gdc.goog/v1
kind: ProjectNetworkPolicy
metadata:
  namespace: PROJECT
  name: allow-all-egress
spec:
  policyType: Egress
  egress:
  - {}
EOF

Ersetzen Sie Folgendes:

• GLOBAL_API_SERVER: Der Kubeconfig-Pfad des globalen API-Servers. Weitere Informationen finden Sie unter Globale und zonale API-Server. Wenn Sie noch keine kubeconfig-Datei für den API-Server generiert haben, finden Sie weitere Informationen unter Anmelden.
• PROJECT: Der Name des Projekts, für das Sie den gesamten Traffic zulassen möchten.

Richtlinie für externen Traffic erstellen, die alles zulässt

Diese Richtlinie lässt Traffic zu und von IP-Adressen außerhalb der Organisation zu.

Den gesamten externen eingehenden Traffic zulassen

Wenn Sie allen eingehenden Traffic von externen IP-Adressen zu allen Arbeitslasten in einem Projekt zulassen möchten, erstellen Sie die folgende Richtlinie:

kubectl --kubeconfig GLOBAL_API_SERVER apply -f - <<EOF
apiVersion: networking.global.gdc.goog/v1
kind: ProjectNetworkPolicy
metadata:
  namespace: PROJECT
  name: allow-all-external-ingress
spec:
  policyType: Ingress
  ingress:
  - from:
    - ipBlock:
        cidr: 0.0.0.0/0
EOF

Den gesamten externen ausgehenden Traffic zulassen

Wenn Sie ausgehenden Traffic von allen Arbeitslasten in Ihrem Projekt zu externen IP-Adressen zulassen möchten, erstellen Sie die folgende Richtlinie:

kubectl --kubeconfig GLOBAL_API_SERVER apply -f - <<EOF
apiVersion: networking.global.gdc.goog/v1
kind: ProjectNetworkPolicy
metadata:
  namespace: PROJECT
  name: allow-all-external-egress
spec:
  policyType: Egress
  egress:
  - to:
    - ipBlock:
        cidr: 0.0.0.0/0
EOF

Ersetzen Sie Folgendes:

• GLOBAL_API_SERVER: Der Kubeconfig-Pfad des globalen API-Servers. Weitere Informationen finden Sie unter Globale und zonale API-Server. Wenn Sie noch keine kubeconfig-Datei für den API-Server generiert haben, finden Sie weitere Informationen unter Anmelden.
• PROJECT: Der Name des Projekts, für das Sie den gesamten externen Traffic zulassen möchten.

Traffic-Richtlinie für alle Projekte erstellen

Diese Richtlinie lässt Traffic zu und von allen Projekten innerhalb der Organisation zu.

Eingehenden Traffic für alle Projekte zulassen

Wenn Sie eingehenden Traffic von allen Projekten zu allen Arbeitslasten in Ihrem Projekt zulassen möchten, erstellen Sie die folgende Richtlinie:

kubectl --kubeconfig GLOBAL_API_SERVER apply -f - <<EOF
apiVersion: networking.global.gdc.goog/v1
kind: ProjectNetworkPolicy
metadata:
  namespace: PROJECT
  name: allow-all-projects-ingress
spec:
  policyType: Ingress
  ingress:
  - from:
    - projectSelector: {}
EOF

Ausgehenden Traffic für alle Projekte zulassen

Wenn Sie ausgehenden Traffic von allen Arbeitslasten in Ihrem Projekt zu allen Projekten zulassen möchten, erstellen Sie die folgende Richtlinie:

kubectl --kubeconfig GLOBAL_API_SERVER apply -f - <<EOF
apiVersion: networking.global.gdc.goog/v1
kind: ProjectNetworkPolicy
metadata:
  namespace: PROJECT
  name: allow-all-projects-egress
spec:
  policyType: Egress
  egress:
  - to:
    - projectSelector: {}
EOF

Ersetzen Sie Folgendes:

• GLOBAL_API_SERVER: Der Kubeconfig-Pfad des globalen API-Servers. Weitere Informationen finden Sie unter Globale und zonale API-Server. Wenn Sie noch keine kubeconfig-Datei für den API-Server generiert haben, finden Sie weitere Informationen unter Anmelden.
• PROJECT: Der Name des Projekts, für das Sie Traffic aus allen Projekten zulassen möchten.