Una política de red de la organización define el control de acceso a la red para los servicios administrados a nivel de la organización que se exponen a través de Google Distributed Cloud (GDC) con aislamiento físico. Puedes definir estos controles de acceso con el recurso OrganizationNetworkPolicy de la API de Networking.
Para obtener los permisos que necesitas para configurar la política de red de la organización, pídele a tu administrador de Identity and Access Management (IAM) de la organización que te otorgue el rol de administrador de políticas de red de la organización (org-network-policy-admin).
Puedes definir una política de red de la organización para los controles de acceso de los siguientes servicios administrados por GDC:
- Todos los servicios
- Consola de GDC
- CLI de Distributed Cloud
- Servidor de la API global
- Administración de identidades y accesos (IAM)
- Sistemas de administración de claves (KMS)
- Almacenamiento de objetos
- System Artifact Registry (SAR)
- Vertex AI
- Entre los servicios de Vertex AI que admite una política, se incluyen la API de Optical Character Recognition, la API de Speech-to-Text, la API de Translation y Workbench.
- Administración de máquinas virtuales (VMM)
Política predeterminada
De forma predeterminada, los siguientes servicios administrados por GDC tienen los siguientes principios:
| Servicio de GDC | Principio |
|---|---|
| Todos los servicios | allow-all |
| Consola de GDC | allow-all |
| gdcloud CLI | allow-all |
| Servidor de la API global | deny-by-default |
| IAM | deny-by-default |
| KMS | deny-by-default |
| Almacenamiento de objetos | deny-by-default |
| SAR | allow-all |
| Vertex AI y servicios compatibles | deny-by-default |
| VMM | deny-by-default |
Ejemplo de política de red de la organización
A continuación, se muestra un ejemplo de un recurso OrganizationNetworkPolicy que permite que el tráfico de una dirección IP acceda a un servicio administrado por GDC.
kubectl --kubeconfig MANAGEMENT_API_SERVER apply -f - <<EOF
apiVersion: networking.gdc.goog/v1
kind: OrganizationNetworkPolicy
metadata:
name: POLICY_NAME
namespace: platform
spec:
subject:
services:
matchTypes:
- "SERVICE_NAME"
ingress:
- from:
- ipBlock:
cidr: CIDR
- ipBlock:
cidr: CIDR
EOF
Reemplaza las siguientes variables:
| Variable | Descripción |
|---|---|
| MANAGEMENT_API_SERVER | Es la ruta de acceso al archivo kubeconfig del servidor de API zonal. Si aún no generaste un archivo kubeconfig para el servidor de la API en la zona de destino, consulta Accede para obtener más detalles. |
| POLICY_NAME | Nombre que se le dará a la política. Por ejemplo, allow-ui-access. |
| SERVICE_NAME | Es el nombre del servicio al que se aplicará la política. Usa los siguientes valores para cada servicio:
|
| CIDR | Es el rango de direcciones IP en notación CIDR desde el que se permitirá el acceso, como 10.251.0.0/24. Puedes agregar varias entradas de ipBlock para permitir el acceso desde varios rangos. |