为受管理的资源创建项目级网络政策

本页面介绍了如何为 Google Distributed Cloud (GDC) 空气隔离环境中的受管服务创建项目网络政策。GDC 代管式服务是由 Google 构建和维护的服务。所有用户都可以默认使用该工具，并且可以通过 GDC Web 控制台或使用命令行访问该工具。托管式服务可以是 Google 开发的软件，也可以是 Google 已与 GDC 集成的开源软件。

准备工作

如需为受管服务配置创建项目网络政策，您必须具备以下条件：

• 必要的身份和访问权限角色。如需了解详情，请参阅准备预定义角色和访问权限。
• 现有项目。如需了解详情，请参阅创建项目。

为代管式服务创建政策

默认情况下，代管式服务仅允许来自创建该服务的项目的连接。运营商可以使用项目网络政策将代管式服务公开给创建该服务的项目以外的项目。

您可以为代管式服务创建全局政策，该政策适用于组织中的所有可用区。如需详细了解 GDC 宇宙中的全局资源，请参阅多地区概览。

为代管式服务创建全局政策

以下 ProjectNetworkPolicy 将数据库服务 (DBS) 作为代管式服务公开：

kubectl --kubeconfig GLOBAL_API_SERVER apply -f - <<EOF
apiVersion: networking.global.gdc.goog/v1
kind: ProjectNetworkPolicy
metadata:
  namespace: PROJECT_1
  name: allow-inbound-traffic-from-project-2-to-dbs-service
spec:
  subject:
    subjectType: ManagedService
    managedServices:
      matchTypes:
      - 'dbs'
  ingress:
  - from:
    - projectSelector:
        projects:
          matchNames:
          - PROJECT_2
EOF

替换以下内容：

• GLOBAL_API_SERVER：全局 API 服务器的 kubeconfig 路径。如需了解详情，请参阅全球和可用区级 API 服务器。如果您尚未为 API 服务器生成 kubeconfig 文件，请参阅登录了解详情。
• PROJECT_1：源项目名称。
• PROJECT_2 目标项目。应用政策后，PROJECT_2 项目中的工作负载可以连接到 DBS 代管式服务中的工作负载。