创建项目内流量网络政策

本页面介绍了如何在 Google Distributed Cloud (GDC) air-gapped 中配置项目内流量网络政策。

项目级网络政策定义入站规则或出站规则。您可以定义允许在项目内、项目之间以及与外部 IP 地址进行通信的政策。

如果需要在单个可用区内强制执行项目内流量，请参阅创建工作负载级网络政策。

准备工作

如需配置项目内流量网络政策，您必须具备以下条件：

• 必要的身份和访问权限角色。如需了解详情，请参阅准备预定义角色和访问权限。
• 现有项目。如需了解详情，请参阅创建项目。

创建项目内流量政策

对于项目内的流量，GDC 默认会为每个项目应用预定义的项目网络政策（即项目内政策）。默认情况下，项目命名空间中的工作负载能够相互通信，而不会向外部资源公开任何内容。

默认情况下，系统不配置出站政策，因此允许所有项目内流量的出站流量。不过，当您设置单个出站流量政策时，系统仅允许该政策指定的流量。

入站项目内流量网络政策

创建项目时，您会隐式创建默认的基本 ProjectNetworkPolicy 资源，以实现项目内通信。此政策允许来自同一项目中其他工作负载的入站流量。

您可以移除默认政策，但请注意，移除后，项目中的所有服务和工作负载都将无法进行项目内通信。

创建全局出站项目内流量网络政策

指定全球政策，以便将此项目网络政策应用于整个宇宙中的所有可用区。如需详细了解 GDC 宇宙中的全局资源，请参阅多地区概览。

如果您停用了数据渗漏防护功能，并向项目应用了ProjectNetworkPolicy出站流量政策（例如禁止访问外部资源），请使用以下必需的政策来允许项目内出站流量：

kubectl --kubeconfig GLOBAL_API_SERVER apply -f - <<EOF
apiVersion: networking.global.gdc.goog/v1
kind: ProjectNetworkPolicy
metadata:
  namespace: PROJECT
  name: allow-intra-project-outbound-traffic
spec:
  policyType: Egress
  egress:
  - to:
    - projectSelector:
        projects:
          matchNames:
          - PROJECT
EOF

替换以下内容：

• GLOBAL_API_SERVER：全局 API 服务器的 kubeconfig 路径。如需了解详情，请参阅全球和可用区级 API 服务器。 如果您尚未为 API 服务器生成 kubeconfig 文件，请参阅登录了解详情。
• PROJECT：您要允许项目内出站流量的项目的名称。