Contrôle de sortie

Avant de commencer

Pour contrôler le trafic sortant, vous devez disposer des rôles Identity and Access Management suivants :

  • Éditeur de projet : dispose d'un accès permettant de gérer et de supprimer des projets. Demandez à votre administrateur IAM de l'organisation de vous attribuer le rôle Éditeur de projet (project-editor).

Appliquer une règle de trafic sans sortie

Par défaut, la règle de trafic sans sortie est appliquée lorsqu'un projet est créé. Vous pouvez vous assurer que cette règle est appliquée lorsque vous créez un projet.

Console

Pour appliquer la règle de trafic sans sortie, procédez comme suit lorsque vous créez un projet :

  1. Dans la console GDC, accédez à Projets.
  2. Cliquez sur le bouton Ajouter un projet pour créer un projet.
  3. Renseignez les informations requises pour votre projet sur les pages Nom du projet et Associer des clusters.
  4. Sur la page Réseau, dans la section Contrôle de la sortie, assurez-vous que la case Appliquer une règle de trafic sans sortie est cochée.
  5. Cliquez sur Suivant.
  6. Vérifiez les informations sur la page Vérifier.
  7. Cliquez sur Créer.

API

Pour appliquer explicitement la règle de trafic sans sortie lorsque vous créez un projet à l'aide de l'API, ajoutez le libellé aux métadonnées du projet et définissez-le sur "false".

apiVersion: resourcemanager.global.gdc.goog/v1
kind: Project
metadata:
  name: PROJECT_NAME
  namespace: platform
  labels:
    networking.gdc.goog/enable-default-egress-allow-to-outside-the-org: "false"

Autoriser le trafic sortant

Par défaut, un projet applique une règle de trafic sans sortie. Voici les règles par défaut pour un projet auquel la règle de trafic sans sortie est appliquée :

  • N'autoriser le trafic entrant qu'à partir du même projet. Tout autre trafic est refusé.
  • Autoriser le trafic sortant vers toutes les destinations au sein de la même organisation. Tout autre trafic est refusé, ce qui signifie que le trafic externe en dehors de votre organisation est refusé.

Lorsque la règle de trafic sans sortie est appliquée, elle bloque tout le trafic sortant du projet vers n'importe quelle destination en dehors de l'organisation. Cette action remplace toutes les règles de réseau de projet (PNP) qui pourraient autrement autoriser le trafic sortant.

Si vous autorisez le trafic sortant en décochant la case correspondante dans la console GDC pour un projet, les règles par défaut pour le projet sont les suivantes :

  • N'autoriser le trafic entrant qu'à partir du même projet. Tout autre trafic est refusé.

  • Autoriser le trafic sortant vers toutes les destinations, y compris les projets externes d'autres organisations.

Console

Pour autoriser le trafic sortant pour un projet, procédez comme suit :

  1. Dans la console GDC, accédez à Projets dans le menu de navigation.
  2. Cliquez sur le nom du projet pour lequel vous souhaitez autoriser le trafic sortant.
  3. Cliquez sur Modifier dans le champ Contrôle de la sortie.
  4. Sur la page Modifier le contrôle de la sortie, décochez la case Appliquer une règle de trafic sans sortie.
  5. Cliquez sur Enregistrer. Le champ Contrôle de la sortie indique que la règle est désactivée.

API

Pour autoriser le trafic sortant, assurez-vous que le libellé networking.gdc.goog/enable-default-egress-allow-to-outside-the-org existe dans le projet et qu'il est défini sur "true".

apiVersion: resourcemanager.global.gdc.goog/v1
kind: Project
metadata:
  name: PROJECT_NAME
  namespace: platform
  labels:
    networking.gdc.goog/enable-default-egress-allow-to-outside-the-org: "true"

Vous devez créer des règles de sortie ProjectNetworkPolicy pour vos projets afin de limiter le trafic sortant. Pour en savoir plus, consultez Configurer des règles de réseau de projet.