本页介绍了在开始设置 Cloud NAT 网关之前需要完成的前提步骤。其中包括获取必要权限、设置网络政策、启用出站流量和创建子网的步骤。
添加 IAM 角色
默认资源模型是围绕平台管理员角色设计的,该角色负责创建项目、项目网络政策以及包含出站网际协议 (IP) 地址的外部子网。应用运维人员角色管理项目级 Cloud NAT 网关。基础设施运维人员角色拥有用于调试 Cloud NAT 和相关网络资源的全面权限。
您可以通过分配以下列表中的 Cloud NAT Identity and Access Management (IAM) 角色来授予权限。
- Cloud NAT Developer (
cloud-nat-developer):此角色为应用运维人员提供了必要的权限,以便他们在分配的项目中创建、读取、更新和删除 (CRUD) Cloud NAT 对象。它纯粹侧重于 Cloud NAT 配置的运营方面,而不授予对基础网络基础设施的访问权限。 - Cloud NAT 查看者 (
cloud-nat-viewer):此角色提供对 Cloud NAT 资源的只读访问权限。此角色适用于需要监控 Cloud NAT 配置和状态但无法进行任何修改的应用运维人员和其他用户。 - Cloud NAT Debugger (
cloud-nat-debugger):此专用角色分配给基础设施运维人员,提供用于调试 Cloud NAT 和相关网络资源的全面权限。此角色可授予对 Cloud NAT 资源的完全控制权限,以及检查和排查直接影响 Cloud NAT 功能的底层网络组件的高级权限。
设置项目和项目网络政策
在创建 Cloud NAT 网关之前,请按照创建项目的说明创建一个项目。
默认情况下,Google Distributed Cloud (GDC) 网闸隔离配置会阻止项目中的工作负载离开组织。如果平台管理员 (PA) 已针对项目停用数据渗漏保护功能,工作负载可能会渗出组织。PA 可以通过将标签 networking.gdc.goog/enable-default-egress-allow-to-outside-the-org: "true" 附加到项目,或通过从控制台停用数据渗漏防护来执行此操作。
启用了出站流量的示例项目:
apiVersion: resourcemanager.gdc.goog/v1
kind: Project
metadata:
namespace: platform
name: project-1
labels:
networking.gdc.goog/enable-default-egress-allow-to-outside-the-org: "true"
以下是一个允许所有出站流量的网络政策示例:
apiVersion: networking.gdc.goog/v1alpha1
kind: ProjectNetworkPolicy
metadata:
namespace: project-1
name: allow-egress-traffic
spec:
policyType: Egress
subject:
subjectType: UserWorkload
egress:
- to:
- ipBlock:
cidr: 0.0.0.0/0