建立允許所有網路流量的網路政策

本頁面提供操作說明,說明如何在 Google Distributed Cloud (GDC) 實體隔離環境中,設定允許所有流量的網路政策。

專案網路政策會定義輸入或輸出規則。您可以定義政策,允許專案內、專案間以及與外部 IP 位址的通訊。

事前準備

如要設定允許所有流量的網路政策,您必須具備下列條件:

建立允許所有流量的政策

這項政策允許來自任何來源的流量,包括其他專案和外部 IP 位址。

允許所有連入流量

如要允許來自任何來源的所有傳入流量進入專案中的所有工作負載,請建立下列政策:

kubectl --kubeconfig GLOBAL_API_SERVER apply -f - <<EOF
apiVersion: networking.global.gdc.goog/v1
kind: ProjectNetworkPolicy
metadata:
  namespace: PROJECT
  name: allow-all-ingress
spec:
  policyType: Ingress
  ingress:
  - {}
EOF

允許所有輸出流量

如要允許專案中所有工作負載將所有輸出流量傳輸至任何目的地,請建立下列政策:

kubectl --kubeconfig GLOBAL_API_SERVER apply -f - <<EOF
apiVersion: networking.global.gdc.goog/v1
kind: ProjectNetworkPolicy
metadata:
  namespace: PROJECT
  name: allow-all-egress
spec:
  policyType: Egress
  egress:
  - {}
EOF

更改下列內容:

  • GLOBAL_API_SERVER:全域 API 伺服器的 kubeconfig 路徑。詳情請參閱「全球和區域 API 伺服器」。 如果尚未為 API 伺服器產生 kubeconfig 檔案,請參閱「登入」一文瞭解詳情。
  • PROJECT:您要允許所有流量的專案名稱。

建立允許所有外部流量的政策

這項政策允許與機構外部 IP 位址之間的流量。

允許所有外部輸入流量

如要允許來自外部 IP 位址的所有輸入流量進入專案中的所有工作負載,請建立下列政策:

kubectl --kubeconfig GLOBAL_API_SERVER apply -f - <<EOF
apiVersion: networking.global.gdc.goog/v1
kind: ProjectNetworkPolicy
metadata:
  namespace: PROJECT
  name: allow-all-external-ingress
spec:
  policyType: Ingress
  ingress:
  - from:
    - ipBlock:
        cidr: 0.0.0.0/0
EOF

允許所有外部輸出流量

如要允許專案中所有工作負載的所有輸出流量前往外部 IP 位址,請建立下列政策:

kubectl --kubeconfig GLOBAL_API_SERVER apply -f - <<EOF
apiVersion: networking.global.gdc.goog/v1
kind: ProjectNetworkPolicy
metadata:
  namespace: PROJECT
  name: allow-all-external-egress
spec:
  policyType: Egress
  egress:
  - to:
    - ipBlock:
        cidr: 0.0.0.0/0
EOF

更改下列內容:

  • GLOBAL_API_SERVER:全域 API 伺服器的 kubeconfig 路徑。詳情請參閱「全球和區域 API 伺服器」。 如果尚未為 API 伺服器產生 kubeconfig 檔案,請參閱「登入」一文瞭解詳情。
  • PROJECT:您要允許所有外部流量的專案名稱。

建立允許所有專案的流量政策

這項政策允許機構內所有專案的流量。

允許所有專案的輸入流量

如要允許所有專案的傳入流量進入專案中的所有工作負載,請建立下列政策:

kubectl --kubeconfig GLOBAL_API_SERVER apply -f - <<EOF
apiVersion: networking.global.gdc.goog/v1
kind: ProjectNetworkPolicy
metadata:
  namespace: PROJECT
  name: allow-all-projects-ingress
spec:
  policyType: Ingress
  ingress:
  - from:
    - projectSelector: {}
EOF

允許所有專案的輸出流量

如要允許專案中所有工作負載的輸出流量流向所有專案,請建立下列政策:

kubectl --kubeconfig GLOBAL_API_SERVER apply -f - <<EOF
apiVersion: networking.global.gdc.goog/v1
kind: ProjectNetworkPolicy
metadata:
  namespace: PROJECT
  name: allow-all-projects-egress
spec:
  policyType: Egress
  egress:
  - to:
    - projectSelector: {}
EOF

更改下列內容:

  • GLOBAL_API_SERVER:全域 API 伺服器的 kubeconfig 路徑。詳情請參閱「全球和區域 API 伺服器」。 如果尚未為 API 伺服器產生 kubeconfig 檔案,請參閱「登入」一文瞭解詳情。
  • PROJECT:您要允許所有專案流量的專案名稱。