Controllo del traffico in uscita

Prima di iniziare

Per controllare il traffico in uscita, devi disporre dei seguenti ruoli di identità e accesso:

  • Editor progetto: ha accesso per gestire ed eliminare i progetti. Chiedi all'amministratore IAM dell'organizzazione di concederti il ruolo Editor progetto (project-editor).

Applicare la policy di traffico in uscita

Per impostazione predefinita, la policy di traffico no-egress viene applicata quando viene creato un nuovo progetto. Puoi assicurarti che questa policy venga applicata al momento della creazione di un progetto.

Console

Per applicare la policy di traffico no-egress, segui questi passaggi quando crei un progetto:

  1. Nella console GDC, vai a Progetti.
  2. Fai clic sul pulsante Aggiungi progetto per creare un progetto.
  3. Completa le informazioni richieste per il tuo progetto nelle pagine Nome progetto e Collega cluster.
  4. Nella pagina Rete, nella sezione Controllo del traffico in uscita, assicurati che la casella di controllo Applica la policy di traffico no-egress sia selezionata.
  5. Fai clic su Avanti.
  6. Esamina i dettagli nella pagina Revisione.
  7. Fai clic su Crea.

API

Per applicare esplicitamente la policy di traffico no-egress quando crei un progetto utilizzando l'API, aggiungi l'etichetta ai metadati del progetto e impostala su "false".

apiVersion: resourcemanager.global.gdc.goog/v1
kind: Project
metadata:
  name: PROJECT_NAME
  namespace: platform
  labels:
    networking.gdc.goog/enable-default-egress-allow-to-outside-the-org: "false"

Consentire il traffico in uscita

Per impostazione predefinita, un progetto applica una policy di traffico no-egress. Di seguito sono riportate le policy predefinite per un progetto con la policy di traffico no-egress applicata:

  • Consenti il traffico in entrata solo dallo stesso progetto. Tutto il resto del traffico viene negato.
  • Consenti il traffico in uscita verso tutte le destinazioni all'interno della stessa organizzazione. Tutto il resto del traffico viene negato, il che significa che il traffico esterno al di fuori della tua organizzazione viene negato.

Quando viene applicata la policy di traffico no-egress, blocca tutto il traffico in uscita dal progetto verso qualsiasi destinazione al di fuori dell'organizzazione. Questa operazione sostituisce eventuali policy di rete del progetto (PNP) che altrimenti potrebbero consentire il traffico in uscita.

Se consenti il traffico in uscita deselezionando la casella di controllo corrispondente nella console GDC per un progetto, le policy predefinite per il progetto sono le seguenti:

  • Consenti il traffico in entrata solo dallo stesso progetto. Tutto il resto del traffico viene negato.

  • Consenti il traffico in uscita verso tutte le destinazioni, inclusi i progetti esterni di altre organizzazioni.

Console

Segui questi passaggi per consentire il traffico in uscita per un progetto:

  1. Nella console GDC, vai a Progetti nel menu di navigazione.
  2. Fai clic sul nome del progetto in cui vuoi consentire il traffico in uscita.
  3. Fai clic su Modifica nel campo Controllo del traffico in uscita.
  4. Nella pagina Modifica controllo del traffico in uscita, deseleziona la casella di controllo Applica la policy di traffico no-egress.
  5. Fai clic su Salva. Il campo Controllo del traffico in uscita indica che la policy è disattivata.

API

Per consentire il traffico in uscita, assicurati che l'etichetta networking.gdc.goog/enable-default-egress-allow-to-outside-the-org esista nel progetto e sia impostata su "true".

apiVersion: resourcemanager.global.gdc.goog/v1
kind: Project
metadata:
  name: PROJECT_NAME
  namespace: platform
  labels:
    networking.gdc.goog/enable-default-egress-allow-to-outside-the-org: "true"

Devi creare policy in uscita ProjectNetworkPolicy per i tuoi progetti per limitare il traffico in uscita. Per saperne di più, consulta Configurare le policy di rete del progetto.