Esta página aborda os passos pré-requisitos antes de poder começar a configurar um gateway Cloud NAT. Isto inclui passos para obter as autorizações necessárias, configurar a política de rede, ativar a saída e criar sub-redes.
Adicione funções de IAM
O modelo de recurso predefinido foi concebido em torno da personagem do administrador da plataforma que cria o projeto, a política de rede do projeto e as sub-redes externas que contêm os endereços de protocolo de Internet (IP) de saída. A função de operador de aplicações gere gateways do Cloud NAT ao nível do projeto. A função de operador de infraestrutura tem autorizações abrangentes para depurar o Cloud NAT e os recursos de rede relacionados.
Pode conceder autorizações atribuindo as funções do Identity and Access Management (IAM) do Cloud NAT na seguinte lista.
- Programador do NAT na nuvem (
cloud-nat-developer): esta função fornece as autorizações necessárias para os operadores de aplicações criarem, lerem, atualizarem e eliminarem (CRUD) objetos do NAT na nuvem nos respetivos projetos atribuídos. Foca-se puramente nos aspetos operacionais da configuração do Cloud NAT, sem conceder acesso à infraestrutura de rede fundamental. - Visitante do NAT na nuvem (
cloud-nat-viewer): esta função oferece acesso só de leitura aos recursos do NAT na nuvem. Destina-se a operadores de aplicações e outros utilizadores que precisam de monitorizar as configurações e o estado do Cloud NAT sem a capacidade de fazer modificações. - Depurador do Cloud NAT (
cloud-nat-debugger): esta função especializada, atribuída a operadores de infraestrutura, fornece autorizações abrangentes para depurar o Cloud NAT e os recursos de rede relacionados. Esta função concede controlo total sobre os recursos do Cloud NAT, juntamente com autorizações elevadas para inspecionar e resolver problemas dos componentes de rede subjacentes que afetam diretamente a funcionalidade do Cloud NAT.
Configure a política de rede do projeto e do projeto
Antes de criar um gateway NAT da nuvem, crie um projeto seguindo as instruções para criar um projeto.
Por predefinição, o Google Distributed Cloud (GDC) isolado impede que as cargas de trabalho num projeto saiam da organização. As cargas de trabalho podem sair da organização se o administrador da plataforma (PA) tiver desativado a proteção contra a exfiltração de dados para o projeto. Os PAs podem fazê-lo anexando a etiqueta networking.gdc.goog/enable-default-egress-allow-to-outside-the-org: "true" ao projeto ou desativando a proteção contra a exfiltração de dados na consola.
Um projeto de exemplo com o tráfego de saída ativado:
apiVersion: resourcemanager.gdc.goog/v1
kind: Project
metadata:
namespace: platform
name: project-1
labels:
networking.gdc.goog/enable-default-egress-allow-to-outside-the-org: "true"
Uma política de rede de exemplo que permite toda a saída:
apiVersion: networking.gdc.goog/v1alpha1
kind: ProjectNetworkPolicy
metadata:
namespace: project-1
name: allow-egress-traffic
spec:
policyType: Egress
subject:
subjectType: UserWorkload
egress:
- to:
- ipBlock:
cidr: 0.0.0.0/0