Esta página aborda as etapas de pré-requisito antes de começar a configurar um gateway do Cloud NAT. Isso inclui etapas para receber as permissões necessárias, configurar a política de rede, ativar a saída e criar sub-redes.
Adicionar papéis do IAM
O modelo de recurso padrão foi projetado para o administrador da plataforma criar o projeto, a política de rede do projeto e as sub-redes externas que contêm os endereços IP de saída do protocolo de Internet (IP). O operador de aplicativos gerencia gateways do Cloud NAT no escopo do projeto. A função de operador de infraestrutura tem permissões abrangentes para depurar o Cloud NAT e recursos de rede relacionados.
É possível conceder permissões atribuindo os papéis do Cloud NAT do Identity and Access Management (IAM) na lista a seguir.
- Desenvolvedor do Cloud NAT (
cloud-nat-developer): essa função fornece as permissões necessárias para que os operadores de aplicativos criem, leiam, atualizem e excluam (CRUD) objetos do Cloud NAT nos projetos atribuídos. Ele se concentra apenas nos aspectos operacionais da configuração do Cloud NAT, sem conceder acesso à infraestrutura de rede fundamental. - Leitor do Cloud NAT (
cloud-nat-viewer): essa função oferece acesso somente leitura aos recursos do Cloud NAT. Ele é destinado a operadores de aplicativos e outros usuários que precisam monitorar as configurações e o status do Cloud NAT sem poder fazer modificações. - Depurador do Cloud NAT (
cloud-nat-debugger): essa função especializada, atribuída a operadores de infraestrutura, oferece permissões abrangentes para depurar o Cloud NAT e recursos de rede relacionados. Essa função concede controle total sobre os recursos do Cloud NAT, além de permissões elevadas para inspecionar e resolver problemas nos componentes de rede subjacentes que afetam diretamente a funcionalidade do Cloud NAT.
Configurar o projeto e a política de rede do projeto
Antes de criar um gateway do Cloud NAT, crie um projeto seguindo as instruções para criar um projeto.
Por padrão, o Google Distributed Cloud (GDC) com isolamento físico impede que as cargas de trabalho em um projeto saiam da organização. As cargas de trabalho podem sair da organização se o administrador da plataforma (PA) tiver desativado a proteção contra exfiltração de dados do projeto. Para isso, os PAs podem anexar o rótulo
networking.gdc.goog/enable-default-egress-allow-to-outside-the-org: "true" ao
projeto ou desativar a proteção contra exfiltração de dados no console.
Um exemplo de projeto com o tráfego de saída ativado:
apiVersion: resourcemanager.gdc.goog/v1
kind: Project
metadata:
namespace: platform
name: project-1
labels:
networking.gdc.goog/enable-default-egress-allow-to-outside-the-org: "true"
Exemplo de uma política de rede que permite toda a saída:
apiVersion: networking.gdc.goog/v1alpha1
kind: ProjectNetworkPolicy
metadata:
namespace: project-1
name: allow-egress-traffic
spec:
policyType: Egress
subject:
subjectType: UserWorkload
egress:
- to:
- ipBlock:
cidr: 0.0.0.0/0