Auf dieser Seite werden die erforderlichen Schritte beschrieben, bevor Sie mit der Einrichtung eines Cloud NAT-Gateways beginnen können. Dazu gehören Schritte zum Abrufen der erforderlichen Berechtigungen, zum Einrichten Ihrer Netzwerkrichtlinie, zum Aktivieren von ausgehendem Traffic und zum Erstellen von Subnetzen.
IAM-Rollen hinzufügen
Das Standardressourcenmodell ist auf die Rolle des Plattformadministrators ausgerichtet, der das Projekt, die Projektnetzwerkrichtlinie und die externen Subnetze mit den Egress-IP-Adressen (Internet Protocol) erstellt. Die Persona „Application Operator“ verwaltet Cloud NAT-Gateways auf Projektebene. Die Persona „Infrastructure Operator“ hat umfassende Berechtigungen zum Debuggen von Cloud NAT und zugehörigen Netzwerkressourcen.
Sie können Berechtigungen erteilen, indem Sie die Cloud NAT-IAM-Rollen (Identity and Access Management) in der folgenden Liste zuweisen.
- Cloud NAT-Entwickler (
cloud-nat-developer): Diese Rolle bietet die erforderlichen Berechtigungen für Anwendungsbetreiber zum Erstellen, Lesen, Aktualisieren und Löschen (CRUD) von Cloud NAT-Objekten in den zugewiesenen Projekten. Sie konzentriert sich ausschließlich auf die betrieblichen Aspekte der Cloud NAT-Konfiguration, ohne Zugriff auf die grundlegende Netzwerkinfrastruktur zu gewähren. - Cloud NAT Viewer (
cloud-nat-viewer): Diese Rolle bietet schreibgeschützten Zugriff auf Cloud NAT-Ressourcen. Sie ist für Anwendungsbetreiber und andere Nutzer vorgesehen, die Cloud NAT-Konfigurationen und den Status überwachen müssen, ohne Änderungen vornehmen zu können. - Cloud NAT Debugger (
cloud-nat-debugger): Diese spezielle Rolle, die Infrastrukturbetreibern zugewiesen wird, bietet umfassende Berechtigungen zum Debuggen von Cloud NAT und zugehörigen Netzwerkressourcen. Diese Rolle gewährt die vollständige Kontrolle über Cloud NAT-Ressourcen sowie erweiterte Berechtigungen zum Prüfen und Beheben von Problemen mit zugrunde liegenden Netzwerkkomponenten, die sich direkt auf die Cloud NAT-Funktionalität auswirken.
Projekt- und Projektnetzwerkrichtlinie einrichten
Bevor Sie ein Cloud NAT-Gateway erstellen, müssen Sie ein Projekt erstellen. Folgen Sie dazu der Anleitung zum Erstellen eines Projekts.
Standardmäßig verhindert Google Distributed Cloud (GDC) mit Air Gap, dass Arbeitslasten in einem Projekt die Organisation verlassen. Arbeitslasten können die Organisation verlassen, wenn Ihr Plattformadministrator den Schutz vor Datenexfiltration für das Projekt deaktiviert hat. PAs können dies tun, indem sie dem Projekt das Label networking.gdc.goog/enable-default-egress-allow-to-outside-the-org: "true" zuweisen oder den Schutz vor Daten-Exfiltration in der Konsole deaktivieren.
Ein Beispielprojekt mit aktiviertem ausgehenden Traffic:
apiVersion: resourcemanager.gdc.goog/v1
kind: Project
metadata:
namespace: platform
name: project-1
labels:
networking.gdc.goog/enable-default-egress-allow-to-outside-the-org: "true"
Beispiel für eine Netzwerkrichtlinie, die den gesamten ausgehenden Traffic zulässt:
apiVersion: networking.gdc.goog/v1alpha1
kind: ProjectNetworkPolicy
metadata:
namespace: project-1
name: allow-egress-traffic
spec:
policyType: Egress
subject:
subjectType: UserWorkload
egress:
- to:
- ipBlock:
cidr: 0.0.0.0/0