En esta página se describen los pasos previos que debes completar antes de empezar a configurar una pasarela Cloud NAT. Esto incluye los pasos para obtener los permisos necesarios, configurar tu política de red, habilitar el tráfico saliente y crear subredes.
Añadir roles de gestión de identidades y accesos
El modelo de recursos predeterminado se ha diseñado para el rol de administrador de la plataforma, que crea el proyecto, la política de red del proyecto y las subredes externas que contienen las direcciones del protocolo de Internet (IP) de salida. El rol Operador de aplicaciones gestiona las pasarelas de Cloud NAT de ámbito de proyecto. El rol Operador de infraestructura tiene permisos completos para depurar Cloud NAT y los recursos de red relacionados.
Puede conceder permisos asignando los roles de gestión de identidades y accesos (IAM) de Cloud NAT de la siguiente lista.
- Desarrollador de Cloud NAT (
cloud-nat-developer): este rol proporciona los permisos necesarios para que los operadores de aplicaciones puedan crear, leer, actualizar y eliminar (CRUD) objetos de Cloud NAT en los proyectos que tengan asignados. Se centra únicamente en los aspectos operativos de la configuración de Cloud NAT, sin conceder acceso a la infraestructura de red subyacente. - Lector de Cloud NAT (
cloud-nat-viewer): este rol ofrece acceso de solo lectura a los recursos de Cloud NAT. Está pensada para operadores de aplicaciones y otros usuarios que necesiten monitorizar las configuraciones y el estado de Cloud NAT sin poder hacer modificaciones. - Depurador de Cloud NAT (
cloud-nat-debugger): este rol especializado, asignado a operadores de infraestructura, proporciona permisos completos para depurar Cloud NAT y los recursos de red relacionados. Este rol otorga control total sobre los recursos de Cloud NAT, así como permisos elevados para inspeccionar y solucionar problemas de los componentes de red subyacentes que afectan directamente a la funcionalidad de Cloud NAT.
Configurar Project y Project Network Policy
Antes de crear una pasarela Cloud NAT, crea un proyecto siguiendo las instrucciones para crear un proyecto.
De forma predeterminada, Google Distributed Cloud (GDC) con air gap impide que las cargas de trabajo de un proyecto salgan de la organización. Las cargas de trabajo pueden salir de la organización si tu administrador de plataforma (PA) ha inhabilitado la protección contra la exfiltración de datos del proyecto. Para ello, los administradores pueden añadir la etiqueta
networking.gdc.goog/enable-default-egress-allow-to-outside-the-org: "true" al
proyecto o inhabilitar la protección de filtración externa de datos desde la consola.
Un proyecto de ejemplo con el tráfico de salida habilitado:
apiVersion: resourcemanager.gdc.goog/v1
kind: Project
metadata:
namespace: platform
name: project-1
labels:
networking.gdc.goog/enable-default-egress-allow-to-outside-the-org: "true"
Política de red de ejemplo que permite todo el tráfico de salida:
apiVersion: networking.gdc.goog/v1alpha1
kind: ProjectNetworkPolicy
metadata:
namespace: project-1
name: allow-egress-traffic
spec:
policyType: Egress
subject:
subjectType: UserWorkload
egress:
- to:
- ipBlock:
cidr: 0.0.0.0/0