Projektnetzwerkrichtlinien für verwaltete Dienste erstellen

Auf dieser Seite finden Sie eine Anleitung zum Erstellen von Projektnetzwerkrichtlinien für verwaltete Dienste in Google Distributed Cloud (GDC) Air-Gapped. Ein von GDC verwalteter Dienst ist ein Dienst, der von Google entwickelt und gewartet wird. Sie ist standardmäßig für alle Nutzer verfügbar und kann über die GDC-Webkonsole oder über die Befehlszeile aufgerufen werden. Verwaltete Dienste können entweder von Google entwickelte Software oder Open-Source-Software sein, die Google in GDC integriert hat.

Hinweise

Zum Konfigurieren von Richtlinien für das Erstellen von Projektnetzwerken für verwaltete Dienste benötigen Sie Folgendes:

• Die erforderlichen Identitäts- und Zugriffsrollen. Weitere Informationen finden Sie unter Vordefinierte Rollen und Zugriff vorbereiten.
• Ein vorhandenes Projekt. Weitere Informationen finden Sie unter Projekt erstellen.

Richtlinie für einen verwalteten Dienst erstellen

Standardmäßig lässt ein verwalteter Dienst nur Verbindungen von dem Projekt zu, in dem der Dienst erstellt wurde. Ein Betreiber kann den verwalteten Dienst für andere Projekte als das Projekt, in dem der Dienst erstellt wurde, über eine Projektnetzwerkrichtlinie verfügbar machen.

Sie können eine globale Richtlinie für einen verwalteten Dienst erstellen, die für alle Zonen in Ihrer Organisation gilt. Weitere Informationen zu globalen Ressourcen in einem GDC-Universum finden Sie unter Übersicht über mehrere Zonen.

Globale Richtlinie für einen verwalteten Dienst erstellen

Im Folgenden wird der DatabaseService (DBS) als verwalteter Dienst verfügbar gemacht:ProjectNetworkPolicy

kubectl --kubeconfig GLOBAL_API_SERVER apply -f - <<EOF
apiVersion: networking.global.gdc.goog/v1
kind: ProjectNetworkPolicy
metadata:
  namespace: PROJECT_1
  name: allow-inbound-traffic-from-project-2-to-dbs-service
spec:
  subject:
    subjectType: ManagedService
    managedServices:
      matchTypes:
      - 'dbs'
  ingress:
  - from:
    - projectSelector:
        projects:
          matchNames:
          - PROJECT_2
EOF

Ersetzen Sie Folgendes:

• GLOBAL_API_SERVER: Der kubeconfig-Pfad des globalen API-Servers. Weitere Informationen finden Sie unter Globale und zonale API-Server. Wenn Sie noch keine kubeconfig-Datei für den API-Server generiert haben, finden Sie weitere Informationen unter Anmelden.
• PROJECT_1: der Name des Quellprojekts.
• PROJECT_2 das Zielprojekt. Nachdem die Richtlinie angewendet wurde, können Arbeitslasten im Projekt PROJECT_2 eine Verbindung zu Arbeitslasten im verwalteten DBS-Dienst herstellen.