En esta página, se proporcionan instrucciones para crear políticas de red del proyecto para los servicios administrados en Google Distributed Cloud (GDC) aislado. Un servicio administrado por GDC es un servicio que Google crea y mantiene. Está disponible de forma predeterminada para todos los usuarios y se puede acceder a ella a través de la consola web de GDC o con la línea de comandos. Los servicios administrados pueden ser software desarrollado por Google o software de código abierto que Google integró en GDC.
Antes de comenzar
Para configurar políticas de red de creación de proyectos para servicios administrados, debes tener lo siguiente:
- Los roles de identidad y acceso necesarios Para obtener más información, consulta Cómo preparar roles y acceso predefinidos.
- Un proyecto existente Para obtener más información, consulta Cómo crear un proyecto.
Crea una política para un servicio administrado
De forma predeterminada, un servicio administrado solo permite conexiones desde el proyecto que creó el servicio. Un operador puede exponer el servicio administrado a proyectos que no sean el que creó el servicio con una política de red del proyecto.
Puedes crear una política global para un servicio administrado que se aplique a todas las zonas de tu organización. Para obtener más información sobre los recursos globales en un universo de GDC, consulta la descripción general de varias zonas.
Crea una política global para un servicio administrado
El siguiente ProjectNetworkPolicy expone el servicio de base de datos (DBS) como un servicio administrado:
kubectl --kubeconfig GLOBAL_API_SERVER apply -f - <<EOF
apiVersion: networking.global.gdc.goog/v1
kind: ProjectNetworkPolicy
metadata:
namespace: PROJECT_1
name: allow-inbound-traffic-from-project-2-to-dbs-service
spec:
subject:
subjectType: ManagedService
managedServices:
matchTypes:
- 'dbs'
ingress:
- from:
- projectSelector:
projects:
matchNames:
- PROJECT_2
EOF
Reemplaza lo siguiente:
GLOBAL_API_SERVER: Es la ruta de acceso a kubeconfig del servidor de la API global. Para obtener más información, consulta Servidores de API globales y zonales. Si aún no generaste un archivo kubeconfig para el servidor de la API, consulta Accede para obtener más detalles.PROJECT_1: Es el nombre del proyecto de origen.PROJECT_2el proyecto de destino. Después de aplicar la política, las cargas de trabajo en el proyectoPROJECT_2pueden conectarse a las cargas de trabajo en el servicio administrado de DBS.