Cette page explique comment créer des règles de réseau de projet pour les services gérés dans Google Distributed Cloud (GDC) air-gapped. Un service géré GDC est un service conçu et géré par Google. Il est disponible par défaut pour tous les utilisateurs et accessible via la console Web GDC ou la ligne de commande. Les services gérés peuvent être des logiciels développés par Google ou des logiciels Open Source que Google a intégrés à GDC.
Avant de commencer
Pour configurer des règles de réseau de création de projet pour les services gérés, vous devez disposer des éléments suivants :
- Les rôles d'identité et d'accès nécessaires. Pour en savoir plus, consultez Préparer les rôles et les accès prédéfinis.
- Un projet existant. Pour en savoir plus, consultez Créer un projet.
Créer un règlement pour un service géré
Par défaut, un service géré n'autorise que les connexions provenant du projet qui a créé le service. Un opérateur peut exposer le service géré à des projets autres que celui qui l'a créé en utilisant une règle de réseau de projet.
Vous pouvez créer une règle globale pour un service géré qui s'applique à toutes les zones de votre organisation. Pour en savoir plus sur les ressources globales dans un univers GDC, consultez Présentation des multizones.
Créer une règle globale pour un service géré
Le ProjectNetworkPolicy suivant expose le service de base de données (DBS) en tant que service géré :
kubectl --kubeconfig GLOBAL_API_SERVER apply -f - <<EOF
apiVersion: networking.global.gdc.goog/v1
kind: ProjectNetworkPolicy
metadata:
namespace: PROJECT_1
name: allow-inbound-traffic-from-project-2-to-dbs-service
spec:
subject:
subjectType: ManagedService
managedServices:
matchTypes:
- 'dbs'
ingress:
- from:
- projectSelector:
projects:
matchNames:
- PROJECT_2
EOF
Remplacez les éléments suivants :
GLOBAL_API_SERVER: chemin d'accès au fichier kubeconfig du serveur d'API global. Pour en savoir plus, consultez Serveurs d'API globaux et zonaux. Si vous n'avez pas encore généré de fichier kubeconfig pour le serveur d'API, consultez Se connecter pour en savoir plus.PROJECT_1: nom du projet source.PROJECT_2le projet de destination. Une fois la règle appliquée, les charges de travail du projetPROJECT_2peuvent se connecter aux charges de travail du service géré DBS.