下り(外向き)制御

始める前に

下り(外向き)を制御するには、必要な ID とアクセスロールが必要です。

  • プロジェクト編集者: プロジェクトの管理と削除を行う権限があります。組織 IAM 管理者に、プロジェクト編集者(project-editor)ロールの付与を依頼します。

下り(外向き)トラフィック ポリシーを適用する

デフォルトでは、新しいプロジェクトが作成されると、下り(外向き)トラフィックなしのポリシーが適用されます。このポリシーは、プロジェクトの作成時に適用されるように設定できます。

コンソール

下り(外向き)トラフィック ポリシーを適用するには、プロジェクトの作成時に次の手順を行います。

  1. GDC コンソールで、[プロジェクト] に移動します。
  2. [プロジェクトを追加] ボタンをクリックして、プロジェクトを作成します。
  3. [プロジェクト名] ページと [クラスタを接続] ページで、プロジェクトに必要な情報を入力します。
  4. [ネットワーク] ページの [下り(外向き)制御] セクションで、[下り(外向き)トラフィック ポリシーを適用する] チェックボックスがオンになっていることを確認します。
  5. [次へ] をクリックします。
  6. [確認] ページで詳細を確認します。
  7. [作成] をクリックします。

API

API を使用してプロジェクトを作成するときに下り(外向き)トラフィック ポリシーを明示的に適用しないようにするには、ラベルをプロジェクト メタデータに追加して "false" に設定します。

apiVersion: resourcemanager.global.gdc.goog/v1
kind: Project
metadata:
  name: PROJECT_NAME
  namespace: platform
  labels:
    networking.gdc.goog/enable-default-egress-allow-to-outside-the-org: "false"

下り(外向き)トラフィックを許可する

デフォルトでは、プロジェクトは下り(外向き)トラフィック ポリシーを適用しません。下り(外向き)トラフィック ポリシーが適用されたプロジェクトのデフォルト ポリシーは次のとおりです。

  • 同じプロジェクトからのインバウンド トラフィックのみを許可します。他のトラフィックはすべて拒否されます。
  • 同じ組織内のすべての宛先へのアウトバウンド トラフィックを許可します。他のすべてのトラフィックは拒否されます。つまり、組織外の外部トラフィックは拒否されます。

下り(外向き)トラフィックなしのポリシーが適用されると、プロジェクトから組織外の宛先への下り(外向き)トラフィックがすべてブロックされます。これにより、下り(外向き)トラフィックを許可する可能性のあるプロジェクト ネットワーク ポリシー(PNP)がオーバーライドされます。

プロジェクトの GDC コンソールで対応するチェックボックスをオフにして下り(外向き)トラフィックを許可すると、プロジェクトのデフォルト ポリシーは次のようになります。

  • 同じプロジェクトからのインバウンド トラフィックのみを許可します。他のトラフィックはすべて拒否されます。

  • 他の組織の外部プロジェクトを含む、すべての宛先へのアウトバウンド トラフィックを許可します。

コンソール

次の手順に沿って、プロジェクトの下り(外向き)トラフィックを許可します。

  1. GDC コンソールで、ナビゲーション メニューの [プロジェクト] に移動します。
  2. 下り(外向き)トラフィックを許可するプロジェクトの名前をクリックします。
  3. [下り(外向き)制御] フィールドで [編集] をクリックします。
  4. [下り(外向き)制御の編集] ページで、[下り(外向き)トラフィック ポリシーを適用しない] チェックボックスをオフにします。
  5. [保存] をクリックします。[下り(外向き)制御] フィールドに、ポリシーが無効になっていることが反映されます。

API

下り(外向き)トラフィックを許可するには、プロジェクトに networking.gdc.goog/enable-default-egress-allow-to-outside-the-org ラベルが存在し、"true" に設定されていることを確認します。

apiVersion: resourcemanager.global.gdc.goog/v1
kind: Project
metadata:
  name: PROJECT_NAME
  namespace: platform
  labels:
    networking.gdc.goog/enable-default-egress-allow-to-outside-the-org: "true"

アウトバウンド トラフィックを制限するには、プロジェクトの ProjectNetworkPolicy 下り(外向き)ポリシーを作成する必要があります。詳細については、プロジェクトのネットワーク ポリシーを構成するをご覧ください。