Cette page décrit les étapes préalables à suivre avant de configurer une passerelle Cloud NAT. Cela inclut les étapes permettant d'obtenir les autorisations nécessaires, de configurer votre règle de réseau, d'activer la sortie et de créer des sous-réseaux.
Ajouter des rôles IAM
Le modèle de ressources par défaut est conçu autour du rôle d'administrateur de plate-forme qui crée le projet, la stratégie réseau du projet et les sous-réseaux externes contenant les adresses IP (Internet Protocol) de sortie. Le rôle d'opérateur d'application gère les passerelles Cloud NAT de portée projet. Le rôle d'opérateur d'infrastructure dispose d'autorisations complètes pour déboguer Cloud NAT et les ressources réseau associées.
Vous pouvez accorder des autorisations en attribuant les rôles Cloud NAT Identity and Access Management (IAM) de la liste suivante.
- Développeur Cloud NAT (
cloud-nat-developer) : ce rôle fournit les autorisations nécessaires aux opérateurs d'applications pour créer, lire, mettre à jour et supprimer (CRUD) des objets Cloud NAT dans les projets qui leur sont attribués. Il se concentre uniquement sur les aspects opérationnels de la configuration Cloud NAT, sans accorder l'accès à l'infrastructure réseau de base. - Lecteur Cloud NAT (
cloud-nat-viewer) : ce rôle offre un accès en lecture seule aux ressources Cloud NAT. Il est destiné aux opérateurs d'applications et aux autres utilisateurs qui doivent surveiller les configurations et l'état de Cloud NAT sans pouvoir apporter de modifications. - Débogueur Cloud NAT (
cloud-nat-debugger) : ce rôle spécialisé, attribué aux opérateurs d'infrastructure, fournit des autorisations complètes pour déboguer Cloud NAT et les ressources réseau associées. Ce rôle offre un contrôle total sur les ressources Cloud NAT, ainsi que des autorisations élevées pour inspecter et résoudre les problèmes liés aux composants réseau sous-jacents qui ont un impact direct sur la fonctionnalité Cloud NAT.
Configurer une règle de réseau de projet
Avant de créer une passerelle Cloud NAT, créez un projet en suivant les instructions pour créer un projet.
Par défaut, Google Distributed Cloud (GDC) sous air gap empêche les charges de travail d'un projet de sortir de l'organisation. Les charges de travail peuvent quitter l'organisation si votre administrateur de plate-forme (PA) a désactivé la protection contre l'exfiltration de données pour le projet. Pour ce faire, les administrateurs de projet peuvent ajouter le libellé networking.gdc.goog/enable-default-egress-allow-to-outside-the-org: "true" au projet ou désactiver la protection contre l'exfiltration de données depuis la console.
Exemple de projet avec le trafic de sortie activé :
apiVersion: resourcemanager.gdc.goog/v1
kind: Project
metadata:
namespace: platform
name: project-1
labels:
networking.gdc.goog/enable-default-egress-allow-to-outside-the-org: "true"
Exemple de règle de réseau qui autorise toutes les sorties :
apiVersion: networking.gdc.goog/v1alpha1
kind: ProjectNetworkPolicy
metadata:
namespace: project-1
name: allow-egress-traffic
spec:
policyType: Egress
subject:
subjectType: UserWorkload
egress:
- to:
- ipBlock:
cidr: 0.0.0.0/0