Un criterio di rete dell'organizzazione definisce il controllo dell'accesso alla rete per i servizi gestiti a livello di organizzazione esposti tramite Google Distributed Cloud (GDC) con air gap. Puoi definire questi controlli dell'accesso utilizzando la risorsa
OrganizationNetworkPolicy
dell'API Networking.
Per ottenere le autorizzazioni necessarie per configurare la policy di rete dell'organizzazione, chiedi all'amministratore di Identity and Access Management (IAM) dell'organizzazione di concederti il ruolo Amministratore policy di rete dell'organizzazione (org-network-policy-admin).
Puoi definire una policy di rete dell'organizzazione per i controlli dell'accesso per i seguenti servizi gestiti da GDC:
- Tutti i servizi
- Console GDC
- Distributed Cloud CLI
- Server API globale
- Identity and Access Management (IAM)
- Key Management Systems (KMS)
- Archiviazione di oggetti
- System Artifact Registry (SAR)
- Vertex AI
- I servizi all'interno di Vertex AI supportati da una policy includono l'API Optical Character Recognition, l'API Speech-to-Text, l'API Translation e Workbench.
- Gestione macchine virtuali (VMM)
Policy predefinita
Per impostazione predefinita, i seguenti servizi gestiti GDC hanno i seguenti principi:
| Servizio GDC | Principio |
|---|---|
| Tutti i servizi | allow-all |
| Console GDC | allow-all |
| gcloud CLI | allow-all |
| Server API globale | deny-by-default |
| IAM | deny-by-default |
| KMS | deny-by-default |
| Archiviazione di oggetti | deny-by-default |
| SAR | allow-all |
| Vertex AI e servizi supportati | deny-by-default |
| VMM | deny-by-default |
Esempio di policy di rete dell'organizzazione
Di seguito è riportato un esempio di risorsa OrganizationNetworkPolicy che
consente al traffico proveniente da un indirizzo IP di accedere a un servizio gestito
GDC.
kubectl --kubeconfig MANAGEMENT_API_SERVER apply -f - <<EOF
apiVersion: networking.gdc.goog/v1
kind: OrganizationNetworkPolicy
metadata:
name: POLICY_NAME
namespace: platform
spec:
subject:
services:
matchTypes:
- "SERVICE_NAME"
ingress:
- from:
- ipBlock:
cidr: CIDR
- ipBlock:
cidr: CIDR
EOF
Sostituisci le seguenti variabili:
| Variabile | Descrizione |
|---|---|
| MANAGEMENT_API_SERVER | Il percorso kubeconfig del server API zonale. Se non hai ancora generato un file kubeconfig per il server API nella zona di destinazione, consulta Accedi per maggiori dettagli. |
| POLICY_NAME | Il nome da assegnare al criterio. Ad esempio, allow-ui-access. |
| SERVICE_NAME | Il nome del servizio a cui applicare la norma. Utilizza i seguenti valori per ogni servizio:
|
| CIDR | L'intervallo di indirizzi IP in notazione CIDR da cui consentire l'accesso, ad esempio 10.251.0.0/24. Puoi aggiungere più voci ipBlock per consentire l'accesso da più intervalli. |