組織ネットワーク ポリシーは、Google Distributed Cloud(GDC)エアギャップを介して公開される組織レベルのマネージド サービスのネットワーク アクセス制御を定義します。これらのアクセス制御は、Networking API の OrganizationNetworkPolicy リソースを使用して定義できます。
組織のネットワーク ポリシーを構成するために必要な権限を取得するには、組織の Identity and Access Management(IAM)管理者に、組織のネットワーク ポリシー管理者(org-network-policy-admin)ロールを付与するよう依頼します。
次の GDC マネージド サービスのアクセス制御に、組織のネットワーク ポリシーを定義できます。
- すべてのサービス
- GDC コンソール
- Distributed Cloud CLI
- グローバル API サーバー
- Identity and Access Management(IAM)
- 鍵管理システム(KMS)
- オブジェクト ストレージ
- System Artifact Registry(SAR)
- Vertex AI
- ポリシーでサポートされている Vertex AI 内のサービスには、光学式文字認識 API、Speech-to-Text API、Translation API、Workbench などがあります。
- 仮想マシン管理(VMM)
デフォルト ポリシー
デフォルトでは、次の GDC マネージド サービスには次の原則があります。
| GDC サービス | 原則 |
|---|---|
| すべてのサービス | allow-all |
| GDC コンソール | allow-all |
| gdcloud CLI | allow-all |
| グローバル API サーバー | deny-by-default |
| IAM | deny-by-default |
| KMS | deny-by-default |
| オブジェクト ストレージ | deny-by-default |
| SAR | allow-all |
| Vertex AI とサポートされているサービス | deny-by-default |
| VMM | deny-by-default |
組織のネットワーク ポリシーの例
次の例は、IP アドレスからのトラフィックが GDC マネージド サービスにアクセスできるようにする OrganizationNetworkPolicy リソースの例です。
kubectl --kubeconfig MANAGEMENT_API_SERVER apply -f - <<EOF
apiVersion: networking.gdc.goog/v1
kind: OrganizationNetworkPolicy
metadata:
name: POLICY_NAME
namespace: platform
spec:
subject:
services:
matchTypes:
- "SERVICE_NAME"
ingress:
- from:
- ipBlock:
cidr: CIDR
- ipBlock:
cidr: CIDR
EOF
次の変数を置き換えます。
| 変数 | 説明 |
|---|---|
| MANAGEMENT_API_SERVER | ゾーン API サーバーの kubeconfig パス。ターゲット ゾーンの API サーバーの kubeconfig ファイルをまだ生成していない場合は、ログインをご覧ください。 |
| POLICY_NAME | ポリシーに付ける名前。 例: allow-ui-access。 |
| SERVICE_NAME | ポリシーを適用するサービスの名前。各サービスに次の値を使用します。
|
| CIDR | アクセスを許可する IP アドレス範囲(CIDR 表記)。例: 10.251.0.0/24。複数の ipBlock エントリを追加して、複数の範囲からのアクセスを許可できます。 |