En esta página, se describen los pasos previos que debes seguir antes de comenzar a configurar una puerta de enlace de Cloud NAT. Esto incluye los pasos para obtener los permisos necesarios, configurar tu política de red, habilitar la salida y crear subredes.
Agrega roles de IAM
El modelo de recursos predeterminado se diseñó en torno al arquetipo del administrador de la plataforma que crea el proyecto, la política de red del proyecto y las subredes externas que contienen las direcciones IP de Protocolo de Internet (IP) de salida. El arquetipo de operador de aplicaciones administra las puertas de enlace de Cloud NAT con alcance en el proyecto. El arquetipo de operador de infraestructura tiene permisos integrales para depurar Cloud NAT y los recursos de red relacionados.
Puedes otorgar permisos si asignas los roles de Identity and Access Management (IAM) de Cloud NAT que se indican en la siguiente lista.
- Desarrollador de Cloud NAT (
cloud-nat-developer): Este rol proporciona los permisos necesarios para que los operadores de aplicaciones creen, lean, actualicen y borren (CRUD) objetos de Cloud NAT en los proyectos asignados. Se enfoca únicamente en los aspectos operativos de la configuración de Cloud NAT, sin otorgar acceso a la infraestructura de red fundamental. - Visualizador de Cloud NAT (
cloud-nat-viewer): Este rol ofrece acceso de solo lectura a los recursos de Cloud NAT. Está destinado a los operadores de aplicaciones y otros usuarios que necesitan supervisar la configuración y el estado de Cloud NAT sin poder realizar modificaciones. - Depurador de Cloud NAT (
cloud-nat-debugger): Este rol especializado, asignado a los operadores de infraestructura, proporciona permisos integrales para depurar Cloud NAT y los recursos de red relacionados. Este rol otorga control total sobre los recursos de Cloud NAT, junto con permisos elevados para inspeccionar y solucionar problemas de los componentes de red subyacentes que afectan directamente la funcionalidad de Cloud NAT.
Configura el proyecto y la política de red del proyecto
Antes de crear una puerta de enlace de Cloud NAT, crea un proyecto siguiendo las instrucciones para crear un proyecto.
De forma predeterminada, Google Distributed Cloud (GDC) aislado bloquea las cargas de trabajo de un proyecto para que no salgan de la organización. Las cargas de trabajo pueden salir de la organización si el administrador de la plataforma (PA) inhabilitó la protección robo de datos para el proyecto. Los PAs pueden hacerlo adjuntando la etiqueta networking.gdc.goog/enable-default-egress-allow-to-outside-the-org: "true" al proyecto o inhabilitando la protección robo de datos desde la consola.
Un proyecto de ejemplo con el tráfico de salida habilitado:
apiVersion: resourcemanager.gdc.goog/v1
kind: Project
metadata:
namespace: platform
name: project-1
labels:
networking.gdc.goog/enable-default-egress-allow-to-outside-the-org: "true"
Ejemplo de una política de red que permite todo el tráfico de salida:
apiVersion: networking.gdc.goog/v1alpha1
kind: ProjectNetworkPolicy
metadata:
namespace: project-1
name: allow-egress-traffic
spec:
policyType: Egress
subject:
subjectType: UserWorkload
egress:
- to:
- ipBlock:
cidr: 0.0.0.0/0