이그레스 제어

시작하기 전에

이그레스를 제어하려면 필요한 ID 및 액세스 역할이 있어야 합니다.

  • 프로젝트 편집자: 프로젝트를 관리하고 삭제할 수 있는 액세스 권한이 있습니다. 조직 IAM 관리자에게 프로젝트 편집자 (project-editor) 역할을 부여해 달라고 요청하세요.

이그레스 없음 트래픽 정책 시행

기본적으로 새 프로젝트를 만들면 이그레스 없음 트래픽 정책이 적용됩니다. 프로젝트를 만들 때 이 정책이 적용되도록 할 수 있습니다.

콘솔

egress 없음 트래픽 정책을 적용하려면 프로젝트를 만들 때 다음 단계를 따르세요.

  1. GDC 콘솔에서 프로젝트로 이동합니다.
  2. 프로젝트 추가 버튼을 클릭하여 프로젝트를 만듭니다.
  3. 프로젝트 이름클러스터 연결 페이지에서 프로젝트에 필요한 정보를 입력합니다.
  4. 네트워크 페이지의 이그레스 제어 섹션에서 이그레스 트래픽 정책 적용 안함 체크박스가 선택되어 있는지 확인합니다.
  5. 다음을 클릭합니다.
  6. 검토 페이지에서 세부정보를 검토합니다.
  7. 만들기를 클릭합니다.

API

API를 사용하여 프로젝트를 만들 때 출구 트래픽 없음 정책을 명시적으로 적용하려면 프로젝트 메타데이터에 라벨을 추가하고 "false"로 설정하세요.

apiVersion: resourcemanager.global.gdc.goog/v1
kind: Project
metadata:
  name: PROJECT_NAME
  namespace: platform
  labels:
    networking.gdc.goog/enable-default-egress-allow-to-outside-the-org: "false"

이그레스 트래픽 허용

기본적으로 프로젝트는 이그레스 트래픽 없음 정책을 적용합니다. 다음은 이그레스 없음 트래픽 정책이 적용된 프로젝트의 기본 정책입니다.

  • 동일한 프로젝트에서 시작된 인바운드 트래픽만 허용합니다. 다른 모든 트래픽은 거부됩니다.
  • 동일한 조직 내 모든 대상으로 아웃바운드 트래픽을 허용합니다. 다른 모든 트래픽은 거부되므로 조직 외부의 외부 트래픽은 거부됩니다.

이그레스 트래픽 없음 정책이 적용되면 프로젝트에서 조직 외부의 모든 대상으로의 이그레스 트래픽이 차단됩니다. 이렇게 하면 이그레스 트래픽을 허용할 수 있는 프로젝트 네트워크 정책 (PNP)이 재정의됩니다.

프로젝트의 GDC 콘솔에서 해당 체크박스를 선택 해제하여 이그레스 트래픽을 허용하면 프로젝트의 기본 정책은 다음과 같습니다.

  • 동일한 프로젝트에서 시작된 인바운드 트래픽만 허용합니다. 다른 모든 트래픽은 거부됩니다.

  • 다른 조직의 외부 프로젝트를 포함한 모든 대상으로 발신 트래픽을 허용합니다.

콘솔

다음 단계를 따라 프로젝트의 이그레스 트래픽을 허용하세요.

  1. GDC 콘솔의 탐색 메뉴에서 프로젝트로 이동합니다.
  2. 아웃바운드 트래픽을 허용할 프로젝트의 이름을 클릭합니다.
  3. 출구 제어 필드에서 수정을 클릭합니다.
  4. 이그레스 제어 수정 페이지에서 이그레스 트래픽 정책 없음 적용 체크박스를 선택 해제합니다.
  5. 저장을 클릭합니다. 이그레스 제어 필드에는 정책이 사용 중지된 것으로 표시됩니다.

API

이그레스 트래픽을 허용하려면 프로젝트에 networking.gdc.goog/enable-default-egress-allow-to-outside-the-org 라벨이 있고 "true"로 설정되어 있는지 확인하세요.

apiVersion: resourcemanager.global.gdc.goog/v1
kind: Project
metadata:
  name: PROJECT_NAME
  namespace: platform
  labels:
    networking.gdc.goog/enable-default-egress-allow-to-outside-the-org: "true"

아웃바운드 트래픽을 제한하려면 프로젝트에 대한 ProjectNetworkPolicy 이그레스 정책을 만들어야 합니다. 자세한 내용은 프로젝트 네트워크 정책 구성을 참고하세요.