조직 네트워크 정책은 Google Distributed Cloud (GDC) 에어갭을 통해 노출되는 조직 수준 관리 서비스의 네트워크 액세스 제어를 정의합니다. 네트워킹 API의 OrganizationNetworkPolicy 리소스를 사용하여 이러한 액세스 제어를 정의할 수 있습니다.
조직 네트워크 정책을 구성하는 데 필요한 권한을 얻으려면 조직 ID 및 액세스 관리 (IAM) 관리자에게 조직 네트워크 정책 관리자 (org-network-policy-admin) 역할을 부여해 달라고 요청하세요.
다음 GDC 관리 서비스의 액세스 제어를 위한 조직 네트워크 정책을 정의할 수 있습니다.
- 모든 서비스
- GDC 콘솔
- Distributed Cloud CLI
- 전역 API 서버
- Identity and Access Management(IAM)
- Key Management Systems (KMS)
- 객체 스토리지
- 시스템 아티팩트 레지스트리 (SAR)
- Vertex AI
- 정책이 지원하는 Vertex AI 내 서비스에는 광학 문자 인식 API, Speech-to-Text API, Translation API, Workbench가 있습니다.
- 가상 머신 관리 (VMM)
기본 정책
기본적으로 다음 GDC 관리 서비스에는 다음 원칙이 적용됩니다.
| GDC 서비스 | 원칙 |
|---|---|
| 모든 서비스 | allow-all |
| GDC 콘솔 | allow-all |
| gdcloud CLI | allow-all |
| 전역 API 서버 | deny-by-default |
| IAM | deny-by-default |
| KMS | deny-by-default |
| 객체 스토리지 | deny-by-default |
| SAR | allow-all |
| Vertex AI 및 지원되는 서비스 | deny-by-default |
| VMM | deny-by-default |
조직 네트워크 정책 예시
다음은 IP 주소에서 GDC 관리 서비스에 액세스하도록 허용하는 OrganizationNetworkPolicy 리소스의 예입니다.
kubectl --kubeconfig MANAGEMENT_API_SERVER apply -f - <<EOF
apiVersion: networking.gdc.goog/v1
kind: OrganizationNetworkPolicy
metadata:
name: POLICY_NAME
namespace: platform
spec:
subject:
services:
matchTypes:
- "SERVICE_NAME"
ingress:
- from:
- ipBlock:
cidr: CIDR
- ipBlock:
cidr: CIDR
EOF
다음 변수를 바꿉니다.
| 변수 | 설명 |
|---|---|
| MANAGEMENT_API_SERVER | 영역 API 서버의 kubeconfig 경로입니다. 타겟 영역의 API 서버에 대한 kubeconfig 파일을 아직 생성하지 않은 경우 로그인에서 자세히 알아보세요. |
| POLICY_NAME | 정책에 지정할 이름입니다. 예를 들면 allow-ui-access입니다. |
| SERVICE_NAME | 정책을 적용할 서비스의 이름입니다. 각 서비스에 다음 값을 사용합니다.
|
| CIDR | 액세스를 허용할 IP 주소 범위(CIDR 표기법)(예: 10.251.0.0/24)입니다. 여러 범위에서 액세스를 허용하려면 ipBlock 항목을 여러 개 추가하면 됩니다. |