本頁面提供相關操作說明,說明如何在 Google Distributed Cloud (GDC) 實體隔離環境中,為代管服務建立專案網路政策。Google Cloud Distributed Cloud 代管服務是由 Google 建構及維護的服務。所有使用者預設都能使用這項功能,並可透過 GDC 網頁控制台或指令列存取。代管服務可以是 Google 開發的軟體,也可以是 Google 與 GDC 整合的開放原始碼軟體。
事前準備
如要為受管理服務設定建立專案網路政策,您必須具備下列條件:
- 必要的身分與存取權角色。詳情請參閱「準備預先定義的角色和存取權」。
- 現有專案。詳情請參閱「建立專案」一文。
為代管服務建立政策
根據預設,受管理服務只允許來自建立該服務的專案的連線。運算子可以使用專案網路政策,將代管服務公開給建立服務的專案以外的專案。
您可以為受管理服務建立全域政策,適用於機構中的所有區域。如要進一步瞭解 GDC 宇宙中的全域資源,請參閱多區域總覽。
為代管服務建立全域政策
下列 ProjectNetworkPolicy 會將資料庫服務 (DBS) 公開為代管服務:
kubectl --kubeconfig GLOBAL_API_SERVER apply -f - <<EOF
apiVersion: networking.global.gdc.goog/v1
kind: ProjectNetworkPolicy
metadata:
namespace: PROJECT_1
name: allow-inbound-traffic-from-project-2-to-dbs-service
spec:
subject:
subjectType: ManagedService
managedServices:
matchTypes:
- 'dbs'
ingress:
- from:
- projectSelector:
projects:
matchNames:
- PROJECT_2
EOF
更改下列內容:
GLOBAL_API_SERVER:全域 API 伺服器的 kubeconfig 路徑。詳情請參閱「全球和區域 API 伺服器」。如果尚未為 API 伺服器產生 kubeconfig 檔案,請參閱「登入」一文瞭解詳情。PROJECT_1:來源專案名稱。PROJECT_2目的地專案。套用政策後,PROJECT_2專案中的工作負載即可連線至 DBS 受管理服務中的工作負載。