Questa pagina descrive i passaggi preliminari da completare prima di poter iniziare a configurare un gateway Cloud NAT. Sono inclusi i passaggi per ottenere le autorizzazioni necessarie, configurare i criteri di rete, attivare l'uscita e creare subnet.
Aggiungi ruoli IAM
Il modello di risorse predefinito è progettato intorno alla persona dell'amministratore della piattaforma che crea il progetto, la policy di rete del progetto e le subnet esterne che contengono gli indirizzi IP (Internet Protocol) di uscita. La persona dell'operatore dell'applicazione gestisce i gateway Cloud NAT con ambito di progetto. La persona Infrastructure Operator dispone di autorizzazioni complete per il debug di Cloud NAT e delle risorse di rete correlate.
Puoi concedere le autorizzazioni assegnando i ruoli Identity and Access Management (IAM) di Cloud NAT nell'elenco seguente.
- Sviluppatore Cloud NAT (
cloud-nat-developer): questo ruolo fornisce le autorizzazioni necessarie agli operatori delle applicazioni per creare, leggere, aggiornare ed eliminare (CRUD) oggetti Cloud NAT all'interno dei progetti assegnati. Si concentra esclusivamente sugli aspetti operativi della configurazione di Cloud NAT, senza concedere l'accesso all'infrastruttura di rete di base. - Visualizzatore Cloud NAT (
cloud-nat-viewer): questo ruolo offre accesso in sola lettura alle risorse Cloud NAT. È destinato agli operatori delle applicazioni e ad altri utenti che devono monitorare le configurazioni e lo stato di Cloud NAT senza la possibilità di apportare modifiche. - Debugger Cloud NAT (
cloud-nat-debugger): questo ruolo specializzato, assegnato agli operatori dell'infrastruttura, fornisce autorizzazioni complete per il debug di Cloud NAT e delle risorse di rete correlate. Questo ruolo concede il controllo completo delle risorse Cloud NAT, oltre a privilegi elevati per ispezionare e risolvere i problemi dei componenti di rete sottostanti che influiscono direttamente sulla funzionalità Cloud NAT.
Configurare i criteri di progetto e di rete del progetto
Prima di creare un gateway Cloud NAT, crea un progetto seguendo le istruzioni per la creazione di un progetto.
Per impostazione predefinita, Google Distributed Cloud (GDC) con air gap impedisce ai workload di un progetto di uscire dall'organizzazione. I carichi di lavoro possono uscire dall'organizzazione se l'amministratore della piattaforma ha disattivato la protezione dall'esfiltrazione di dati per il progetto. Gli amministratori del progetto possono farlo allegando l'etichetta
networking.gdc.goog/enable-default-egress-allow-to-outside-the-org: "true" al
progetto o disattivando la protezione dall'esfiltrazione di dati dalla console.
Un progetto di esempio, con il traffico in uscita attivato:
apiVersion: resourcemanager.gdc.goog/v1
kind: Project
metadata:
namespace: platform
name: project-1
labels:
networking.gdc.goog/enable-default-egress-allow-to-outside-the-org: "true"
Un esempio di policy di rete che consente tutto il traffico in uscita:
apiVersion: networking.gdc.goog/v1alpha1
kind: ProjectNetworkPolicy
metadata:
namespace: project-1
name: allow-egress-traffic
spec:
policyType: Egress
subject:
subjectType: UserWorkload
egress:
- to:
- ipBlock:
cidr: 0.0.0.0/0