Hinweis
Um den Daten-Egress zu steuern, benötigen Sie die erforderlichen Identitäts- und Zugriffsrollen:
- Projektbearbeiter: Hat Zugriff zum Verwalten und Löschen von Projekten. Bitten Sie Ihren Organisations-IAM-Administrator, Ihnen die Rolle „Projektbearbeiter“ (
project-editor) zuzuweisen.
Richtlinie für ausgehenden Traffic ohne Egress durchsetzen
Standardmäßig wird die Richtlinie für keinen Egress-Traffic erzwungen, wenn ein neues Projekt erstellt wird. Sie können dafür sorgen, dass diese Richtlinie beim Erstellen eines Projekts erzwungen wird.
Console
So erzwingen Sie die Richtlinie für ausgehenden Traffic beim Erstellen eines Projekts:
- Rufen Sie in der GDC Console Projekte auf.
- Klicken Sie auf die Schaltfläche Projekt hinzufügen, um ein Projekt zu erstellen.
- Geben Sie auf den Seiten Projektname und Cluster anhängen die erforderlichen Informationen für Ihr Projekt ein.
- Prüfen Sie auf der Seite Network (Netzwerk) im Abschnitt Egress Control (Kontrolle des ausgehenden Traffics), ob das Kästchen Enforce no-egress traffic policy (Richtlinie für ausgehenden Traffic ohne Ausleitung erzwingen) aktiviert ist.
- Klicken Sie auf Weiter.
- Sehen Sie sich die Details auf der Seite Überprüfung an.
- Klicken Sie auf Erstellen.
API
Wenn Sie die Richtlinie für ausgehenden Traffic beim Erstellen eines Projekts über die API explizit erzwingen möchten, fügen Sie das Label den Projektmetadaten hinzu und legen Sie es auf "false" fest.
apiVersion: resourcemanager.global.gdc.goog/v1
kind: Project
metadata:
name: PROJECT_NAME
namespace: platform
labels:
networking.gdc.goog/enable-default-egress-allow-to-outside-the-org: "false"
Ausgehenden Traffic zulassen
Standardmäßig erzwingt ein Projekt eine Richtlinie für ausgehenden Traffic, die keinen ausgehenden Traffic zulässt. Im Folgenden finden Sie die Standardrichtlinien für ein Projekt, in dem die Richtlinie für keinen ausgehenden Traffic erzwungen wird:
- Lassen Sie eingehenden Traffic nur aus demselben Projekt zu. Der gesamte andere Traffic wird abgelehnt.
- Erlauben Sie ausgehenden Traffic zu allen Zielen innerhalb derselben Organisation. Der gesamte andere Traffic wird abgelehnt. Das bedeutet, dass externer Traffic außerhalb Ihrer Organisation abgelehnt wird.
Wenn die Richtlinie für keinen ausgehenden Traffic erzwungen wird, wird der gesamte ausgehende Traffic aus dem Projekt zu einem beliebigen Ziel außerhalb der Organisation blockiert. Dadurch werden alle Projektnetzwerkrichtlinien überschrieben, die ausgehenden Traffic ansonsten zulassen würden.
Wenn Sie ausgehenden Traffic zulassen, indem Sie das entsprechende Kästchen in der GDC Console für ein Projekt deaktivieren, gelten für das Projekt die folgenden Standardrichtlinien:
- Lassen Sie eingehenden Traffic nur aus demselben Projekt zu. Der gesamte andere Traffic wird abgelehnt.
Ausgehender Traffic zu allen Zielen zulassen, einschließlich externer Projekte anderer Organisationen.
Console
Führen Sie die folgenden Schritte aus, um ausgehenden Traffic für ein Projekt zuzulassen:
- Rufen Sie in der GDC Console im Navigationsmenü Projekte auf.
- Klicken Sie auf den Namen des Projekts, für das Sie ausgehenden Traffic zulassen möchten.
- Klicken Sie im Feld Egress Control (Ausgangskontrolle) auf Bearbeiten.
- Entfernen Sie auf der Seite Ausgangskontrolle bearbeiten das Häkchen aus dem Kästchen Richtlinie für ausgehenden Traffic erzwingen.
- Klicken Sie auf Speichern. Das Feld Kontrolle des ausgehenden Traffics gibt an, dass die Richtlinie deaktiviert ist.
API
Damit ausgehender Traffic zugelassen wird, muss das Label networking.gdc.goog/enable-default-egress-allow-to-outside-the-org im Projekt vorhanden und auf "true" festgelegt sein.
apiVersion: resourcemanager.global.gdc.goog/v1
kind: Project
metadata:
name: PROJECT_NAME
namespace: platform
labels:
networking.gdc.goog/enable-default-egress-allow-to-outside-the-org: "true"
Sie müssen ProjectNetworkPolicy-Ausgangsrichtlinien für Ihre Projekte erstellen, um den ausgehenden Traffic einzuschränken. Weitere Informationen finden Sie unter Projektnetzwerkrichtlinien konfigurieren.