このページでは、Cloud NAT ゲートウェイの設定を開始する前に必要な手順について説明します。これには、必要な権限の取得、ネットワーク ポリシーの設定、下り(外向き)の有効化、サブネットの作成の手順が含まれます。
IAM ロールを追加する
デフォルトのリソースモデルは、プロジェクト、プロジェクト ネットワーク ポリシー、下り(外向き)インターネット プロトコル(IP)アドレスを含む外部サブネットを作成するプラットフォーム管理者のペルソナを中心に設計されています。アプリケーション オペレーターのペルソナは、プロジェクト スコープの Cloud NAT ゲートウェイを管理します。インフラストラクチャ オペレーターのペルソナには、Cloud NAT と関連するネットワーク リソースのデバッグに関する包括的な権限があります。
権限を付与するには、次のリストにある Cloud NAT Identity and Access Management(IAM)ロールを割り当てます。
- Cloud NAT デベロッパー(
cloud-nat-developer): このロールは、アプリケーション オペレーターが割り当てられたプロジェクト内で Cloud NAT オブジェクトの作成、読み取り、更新、削除(CRUD)を行うために必要な権限を提供します。基盤となるネットワーク インフラストラクチャへのアクセス権を付与することなく、Cloud NAT 構成の運用面にのみ焦点を当てています。 - Cloud NAT 閲覧者(
cloud-nat-viewer): このロールは、Cloud NAT リソースへの読み取り専用アクセスを提供します。これは、変更を行う権限を持たずに Cloud NAT の構成とステータスをモニタリングする必要があるアプリケーション オペレーターなどのユーザーを対象としています。 - Cloud NAT デバッガ(
cloud-nat-debugger): インフラストラクチャ オペレーターに割り当てられるこの特別なロールは、Cloud NAT と関連するネットワーク リソースのデバッグに必要な包括的な権限を提供します。このロールは、Cloud NAT リソースに対する完全な制御権限と、Cloud NAT の機能に直接影響する基盤となるネットワーク コンポーネントを検査してトラブルシューティングするための昇格された権限を付与します。
プロジェクトとプロジェクト ネットワーク ポリシーを設定する
Cloud NAT ゲートウェイを作成する前に、プロジェクトの作成手順に沿ってプロジェクトを作成します。
デフォルトでは、Google Distributed Cloud(GDC)エアギャップは、プロジェクト内のワークロードが組織外に出るのをブロックします。プラットフォーム管理者(PA)がプロジェクトのデータ漏洩保護を無効にしている場合、ワークロードは組織を終了できます。PA は、プロジェクトにラベル networking.gdc.goog/enable-default-egress-allow-to-outside-the-org: "true" を適用するか、コンソールからデータ引き出し保護を無効にすることで、これを行うことができます。
下り(外向き)トラフィックが有効になっているプロジェクトの例:
apiVersion: resourcemanager.gdc.goog/v1
kind: Project
metadata:
namespace: platform
name: project-1
labels:
networking.gdc.goog/enable-default-egress-allow-to-outside-the-org: "true"
すべての下り(外向き)を許可するネットワーク ポリシーの例:
apiVersion: networking.gdc.goog/v1alpha1
kind: ProjectNetworkPolicy
metadata:
namespace: project-1
name: allow-egress-traffic
spec:
policyType: Egress
subject:
subjectType: UserWorkload
egress:
- to:
- ipBlock:
cidr: 0.0.0.0/0