Questa pagina fornisce istruzioni per creare criteri di rete del progetto per i servizi gestiti in Google Distributed Cloud (GDC) air-gapped. Un servizio gestito GDC è un servizio creato e gestito da Google. È disponibile per impostazione predefinita per tutti gli utenti e può essere accessibile tramite la console web GDC o utilizzando la riga di comando. I servizi gestiti possono essere software sviluppati da Google o software open source che Google ha integrato con GDC.
Prima di iniziare
Per configurare le policy di rete di creazione dei progetti per i servizi gestiti, devi disporre di quanto segue:
- I ruoli di identità e accesso necessari. Per saperne di più, consulta Preparare ruoli e accesso predefiniti.
- Un progetto esistente. Per saperne di più, consulta Creare un progetto.
Crea una policy per un servizio gestito
Per impostazione predefinita, un servizio gestito consente solo le connessioni dal progetto che ha creato il servizio. Un operatore può esporre il servizio gestito a progetti diversi da quello che ha creato il servizio utilizzando un criterio di rete del progetto.
Puoi creare un criterio globale per un servizio gestito che si applica a tutte le zone della tua organizzazione. Per saperne di più sulle risorse globali in un universo GDC, vedi Panoramica multizona.
Crea una policy globale per un servizio gestito
Il seguente ProjectNetworkPolicy espone il servizio di database (DBS) come servizio gestito:
kubectl --kubeconfig GLOBAL_API_SERVER apply -f - <<EOF
apiVersion: networking.global.gdc.goog/v1
kind: ProjectNetworkPolicy
metadata:
namespace: PROJECT_1
name: allow-inbound-traffic-from-project-2-to-dbs-service
spec:
subject:
subjectType: ManagedService
managedServices:
matchTypes:
- 'dbs'
ingress:
- from:
- projectSelector:
projects:
matchNames:
- PROJECT_2
EOF
Sostituisci quanto segue:
GLOBAL_API_SERVER: il percorso kubeconfig del server API globale. Per saperne di più, vedi Server API globali e di zona. Se non hai ancora generato un file kubeconfig per il server API, consulta la sezione Accedi per i dettagli.PROJECT_1: il nome del progetto di origine.PROJECT_2il progetto di destinazione. Dopo aver applicato il criterio, i carichi di lavoro nel progettoPROJECT_2possono connettersi ai carichi di lavoro nel servizio gestito DBS.