本頁說明設定 Cloud NAT 閘道前必須完成的步驟。包括取得必要權限、設定網路政策、啟用輸出流量,以及建立子網路的步驟。
新增 IAM 角色
預設資源模型是根據平台管理員角色設計,可建立專案、專案網路政策,以及包含輸出網際網路通訊協定 (IP) 位址的外部子網路。應用程式運算子角色會管理專案範圍的 Cloud NAT 閘道。基礎架構運算子角色具備全面權限,可偵錯 Cloud NAT 和相關網路資源。
您可以指派下列清單中的 Cloud NAT 身分與存取權管理 (IAM) 角色,授予權限。
- Cloud NAT 開發人員 (
cloud-nat-developer):這個角色提供必要的權限,讓應用程式運算子在指派的專案中建立、讀取、更新及刪除 (CRUD) Cloud NAT 物件。這項角色純粹著重於 Cloud NAT 設定的作業層面,不會授予基礎網路基礎架構的存取權。 - Cloud NAT 檢視者 (
cloud-nat-viewer):這個角色提供 Cloud NAT 資源的唯讀存取權。應用程式運算子和其他使用者可透過這項角色監控 Cloud NAT 設定和狀態,但無法進行任何修改。 - Cloud NAT Debugger (
cloud-nat-debugger):這個專門角色會指派給基礎架構營運人員,提供偵錯 Cloud NAT 和相關網路資源的完整權限。這個角色可授予 Cloud NAT 資源的完整控管權限,以及檢查和排解直接影響 Cloud NAT 功能的基礎網路元件問題的權限。
設定專案和專案網路政策
建立 Cloud NAT 閘道前,請按照建立專案的操作說明建立專案。
根據預設,Google Distributed Cloud (GDC) 氣隙隔離會禁止專案中的工作負載離開機構。如果平台管理員 (PA) 已停用專案的資料外洩防護功能,工作負載可能會離開機構。PA 可以將 networking.gdc.goog/enable-default-egress-allow-to-outside-the-org: "true" 標籤附加至專案,或從控制台停用資料外洩防護機制。
啟用輸出流量的專案範例:
apiVersion: resourcemanager.gdc.goog/v1
kind: Project
metadata:
namespace: platform
name: project-1
labels:
networking.gdc.goog/enable-default-egress-allow-to-outside-the-org: "true"
以下是允許所有輸出的網路政策範例:
apiVersion: networking.gdc.goog/v1alpha1
kind: ProjectNetworkPolicy
metadata:
namespace: project-1
name: allow-egress-traffic
spec:
policyType: Egress
subject:
subjectType: UserWorkload
egress:
- to:
- ipBlock:
cidr: 0.0.0.0/0