이 페이지에서는 Cloud NAT 게이트웨이 설정을 시작하기 전에 필요한 단계를 설명합니다. 여기에는 필요한 권한을 획득하고,네트워크 정책을 설정하고, 이그레스를 사용 설정하고, 서브넷을 만드는 단계가 포함됩니다.
IAM 역할 추가
기본 리소스 모델은 프로젝트, 프로젝트 네트워크 정책, 이그레스 인터넷 프로토콜 (IP) 주소를 포함하는 외부 서브넷을 만드는 플랫폼 관리자 페르소나를 중심으로 설계되었습니다. 애플리케이션 운영자 페르소나는 프로젝트 범위 Cloud NAT 게이트웨이를 관리합니다. 인프라 운영자 페르소나에는 Cloud NAT 및 관련 네트워크 리소스를 디버깅할 수 있는 포괄적인 권한이 있습니다.
다음 목록에서 Cloud NAT Identity and Access Management (IAM) 역할을 할당하여 권한을 부여할 수 있습니다.
- Cloud NAT 개발자 (
cloud-nat-developer): 이 역할은 애플리케이션 운영자가 할당된 프로젝트 내에서 Cloud NAT 객체를 생성, 읽기, 업데이트, 삭제(CRUD)하는 데 필요한 권한을 제공합니다. 기본 네트워크 인프라에 대한 액세스 권한을 부여하지 않고 Cloud NAT 구성의 운영 측면에만 집중합니다. - Cloud NAT 뷰어 (
cloud-nat-viewer): 이 역할은 Cloud NAT 리소스에 대한 읽기 전용 액세스를 제공합니다. 수정 권한 없이 Cloud NAT 구성 및 상태를 모니터링해야 하는 애플리케이션 운영자 및 기타 사용자를 대상으로 합니다. - Cloud NAT 디버거 (
cloud-nat-debugger): 인프라 운영자에게 할당되는 이 전문 역할은 Cloud NAT 및 관련 네트워크 리소스를 디버깅할 수 있는 포괄적인 권한을 제공합니다. 이 역할은 Cloud NAT 리소스에 대한 전체 제어 권한과 함께 Cloud NAT 기능에 직접 영향을 미치는 기본 네트워크 구성요소를 검사하고 문제를 해결할 수 있는 권한을 부여합니다.
프로젝트 및 프로젝트 네트워크 정책 설정
Cloud NAT 게이트웨이를 만들기 전에 프로젝트 만들기 안내에 따라 프로젝트를 만듭니다.
기본적으로 Google Distributed Cloud (GDC) 에어 갭은 프로젝트의 워크로드가 조직 외부로 나가는 것을 차단합니다. 플랫폼 관리자 (PA)가 프로젝트의 데이터 유출 방지 기능을 사용 중지한 경우 워크로드가 조직을 종료할 수 있습니다. PA는 프로젝트에 networking.gdc.goog/enable-default-egress-allow-to-outside-the-org: "true" 라벨을 연결하거나 콘솔에서 데이터 유출 방지 기능을 사용 중지하여 이를 수행할 수 있습니다.
이그레스 트래픽이 사용 설정된 프로젝트의 예:
apiVersion: resourcemanager.gdc.goog/v1
kind: Project
metadata:
namespace: platform
name: project-1
labels:
networking.gdc.goog/enable-default-egress-allow-to-outside-the-org: "true"
모든 이그레스를 허용하는 네트워크 정책의 예는 다음과 같습니다.
apiVersion: networking.gdc.goog/v1alpha1
kind: ProjectNetworkPolicy
metadata:
namespace: project-1
name: allow-egress-traffic
spec:
policyType: Egress
subject:
subjectType: UserWorkload
egress:
- to:
- ipBlock:
cidr: 0.0.0.0/0