Kebijakan jaringan organisasi menentukan kontrol akses jaringan untuk layanan terkelola tingkat organisasi yang diekspos melalui Google Distributed Cloud (GDC) yang terisolasi. Anda dapat menentukan kontrol akses ini menggunakan resource
OrganizationNetworkPolicy dari
Networking API.
Untuk mendapatkan izin yang diperlukan guna mengonfigurasi kebijakan jaringan organisasi, minta Admin Pengelolaan Identitas dan Akses (IAM) Organisasi Anda untuk memberi Anda peran Admin Kebijakan Jaringan Org (org-network-policy-admin).
Anda dapat menentukan kebijakan jaringan organisasi untuk kontrol akses bagi layanan terkelola GDC berikut:
- Semua layanan
- Konsol GDC
- Distributed Cloud CLI
- Server API global
- Identity and Access Management (IAM)
- Sistem Pengelolaan Kunci (KMS)
- Penyimpanan objek
- System Artifact Registry (SAR)
- Vertex AI
- Layanan dalam Vertex AI yang didukung oleh kebijakan mencakup Optical Character Recognition API, Speech-to-Text API, Translation API, dan Workbench.
- Pengelolaan Virtual Machine (VMM)
Kebijakan default
Secara default, layanan terkelola GDC berikut memiliki prinsip-prinsip berikut:
| Layanan GDC | Prinsip |
|---|---|
| Semua layanan | allow-all |
| Konsol GDC | allow-all |
| gdcloud CLI | allow-all |
| Server API global | deny-by-default |
| IAM | deny-by-default |
| KMS | deny-by-default |
| Penyimpanan objek | deny-by-default |
| SAR | allow-all |
| Vertex AI dan layanan yang didukung | deny-by-default |
| VMM | deny-by-default |
Contoh kebijakan jaringan organisasi
Berikut adalah contoh resource OrganizationNetworkPolicy yang
mengizinkan traffic dari alamat IP untuk mengakses layanan terkelola GDC.
kubectl --kubeconfig MANAGEMENT_API_SERVER apply -f - <<EOF
apiVersion: networking.gdc.goog/v1
kind: OrganizationNetworkPolicy
metadata:
name: POLICY_NAME
namespace: platform
spec:
subject:
services:
matchTypes:
- "SERVICE_NAME"
ingress:
- from:
- ipBlock:
cidr: CIDR
- ipBlock:
cidr: CIDR
EOF
Ganti variabel berikut:
| Variabel | Deskripsi |
|---|---|
| MANAGEMENT_API_SERVER | Jalur kubeconfig server API zonal. Jika Anda belum membuat file kubeconfig untuk server API di zona target, lihat Login untuk mengetahui detailnya. |
| POLICY_NAME | Nama yang akan diberikan untuk kebijakan. Misalnya, allow-ui-access. |
| SERVICE_NAME | Nama layanan untuk menerapkan kebijakan. Gunakan nilai berikut untuk setiap layanan:
|
| CIDR | Rentang alamat IP dalam notasi CIDR yang akan diizinkan aksesnya, seperti 10.251.0.0/24. Anda dapat menambahkan beberapa entri ipBlock untuk mengizinkan akses dari beberapa rentang. |