Halaman ini membahas langkah-langkah prasyarat sebelum Anda dapat mulai menyiapkan gateway Cloud NAT. Hal ini mencakup langkah-langkah untuk mendapatkan izin yang diperlukan,menyiapkan kebijakan jaringan, mengaktifkan keluar, dan membuat subnet.
Menambahkan Peran IAM
Model resource default dirancang berdasarkan persona Administrator Platform yang membuat project, kebijakan jaringan project, dan subnet eksternal yang berisi alamat IP Internet Protocol (IP) keluar. Persona Operator Aplikasi mengelola gateway Cloud NAT yang tercakup dalam project. Persona Infrastructure Operator memiliki izin komprehensif untuk men-debug Cloud NAT dan resource jaringan terkait.
Anda dapat memberikan izin dengan menetapkan peran Identity and Access Management (IAM) Cloud NAT dalam daftar berikut.
- Developer Cloud NAT (
cloud-nat-developer): Peran ini memberikan izin yang diperlukan bagi operator aplikasi untuk Membuat, Membaca, Memperbarui, dan Menghapus (CRUD) objek Cloud NAT dalam project yang ditetapkan. Hal ini berfokus murni pada aspek operasional konfigurasi Cloud NAT, tanpa memberikan akses ke infrastruktur jaringan dasar. - Cloud NAT Viewer (
cloud-nat-viewer): Peran ini menawarkan akses hanya baca ke resource Cloud NAT. Panduan ini ditujukan untuk operator aplikasi dan pengguna lain yang perlu memantau konfigurasi dan status Cloud NAT tanpa kemampuan untuk melakukan perubahan apa pun. - Debugger Cloud NAT (
cloud-nat-debugger): Peran khusus ini, yang ditetapkan kepada operator infrastruktur, memberikan izin komprehensif untuk men-debug Cloud NAT dan resource jaringan terkait. Peran ini memberikan kontrol penuh atas resource Cloud NAT, beserta izin yang ditingkatkan untuk memeriksa dan memecahkan masalah komponen jaringan pokok yang secara langsung memengaruhi fungsi Cloud NAT.
Menyiapkan Project dan Project Network Policy
Sebelum membuat gateway Cloud NAT, buat project dengan mengikuti petunjuk untuk membuat project.
Secara default, Google Distributed Cloud (GDC) dengan air gap memblokir workload dalam project agar tidak keluar dari organisasi. Beban kerja dapat keluar dari organisasi jika Administrator Platform (PA) Anda telah menonaktifkan perlindungan eksfiltrasi data untuk project. PA dapat melakukannya dengan melampirkan label
networking.gdc.goog/enable-default-egress-allow-to-outside-the-org: "true" ke
project, atau dengan menonaktifkan perlindungan pemindahan data yang tidak sah dari konsol.
Contoh project, dengan traffic keluar diaktifkan:
apiVersion: resourcemanager.gdc.goog/v1
kind: Project
metadata:
namespace: platform
name: project-1
labels:
networking.gdc.goog/enable-default-egress-allow-to-outside-the-org: "true"
Contoh kebijakan jaringan yang mengizinkan semua traffic keluar:
apiVersion: networking.gdc.goog/v1alpha1
kind: ProjectNetworkPolicy
metadata:
namespace: project-1
name: allow-egress-traffic
spec:
policyType: Egress
subject:
subjectType: UserWorkload
egress:
- to:
- ipBlock:
cidr: 0.0.0.0/0