このページでは、Google Distributed Cloud(GDC)エアギャップでマネージド サービスのプロジェクト ネットワーク ポリシーを作成する手順について説明します。GDC マネージド サービスは、Google が構築して維持するサービスです。デフォルトではすべてのユーザーが利用でき、GDC ウェブ コンソールまたはコマンドラインを使用してアクセスできます。マネージド サービスは、Google が開発したソフトウェアか、Google が GDC と統合したオープンソース ソフトウェアのいずれかになります。
始める前に
マネージド サービスのプロジェクト ネットワーク ポリシーを作成して構成するには、次のものが必要です。
- 必要な ID とアクセスロール。詳細については、事前定義ロールとアクセスを準備するをご覧ください。
- 既存のプロジェクト。詳細については、プロジェクトを作成するをご覧ください。
マネージド サービスのポリシーを作成する
デフォルトでは、マネージド サービスはサービスを作成したプロジェクトからの接続のみを許可します。オペレーターは、プロジェクト ネットワーク ポリシーを使用して、サービスを作成したプロジェクト以外のプロジェクトにマネージド サービスを公開できます。
組織内のすべてのゾーンに適用されるマネージド サービスのグローバル ポリシーを作成できます。GDC ユニバースのグローバル リソースの詳細については、マルチゾーンの概要をご覧ください。
マネージド サービスのグローバル ポリシーを作成する
次の ProjectNetworkPolicy は、Database Service(DBS)をマネージド サービスとして公開します。
kubectl --kubeconfig GLOBAL_API_SERVER apply -f - <<EOF
apiVersion: networking.global.gdc.goog/v1
kind: ProjectNetworkPolicy
metadata:
namespace: PROJECT_1
name: allow-inbound-traffic-from-project-2-to-dbs-service
spec:
subject:
subjectType: ManagedService
managedServices:
matchTypes:
- 'dbs'
ingress:
- from:
- projectSelector:
projects:
matchNames:
- PROJECT_2
EOF
次のように置き換えます。
GLOBAL_API_SERVER: グローバル API サーバーの kubeconfig パス。詳細については、グローバル API サーバーとゾーン API サーバーをご覧ください。API サーバーの kubeconfig ファイルをまだ生成していない場合は、ログインをご覧ください。PROJECT_1: ソース プロジェクト名。- 宛先プロジェクトに対する
PROJECT_2。ポリシーを適用すると、PROJECT_2プロジェクトのワークロードは DBS マネージド サービスのワークロードに接続できます。