機構網路政策會定義機構層級代管服務的網路存取權控管,這些服務會透過 Google Distributed Cloud (GDC) 氣隙式環境公開。您可以使用 Networking API 中的 OrganizationNetworkPolicy 資源定義這些存取權控管機制。
如要取得設定組織網路政策所需的權限,請要求組織 Identity and Access Management (IAM) 管理員授予您組織網路政策管理員 (org-network-policy-admin) 角色。
您可以定義機構網路政策,控管下列 GDC 代管服務的存取權:
- 所有服務
- GDC 控制台
- Distributed Cloud CLI
- 全球 API 伺服器
- Identity and Access Management (IAM)
- 金鑰管理系統 (KMS)
- 物件儲存空間
- 系統構件登錄檔 (SAR)
- Vertex AI
- 這項政策支援的 Vertex AI 服務包括:Optical Character Recognition API、Speech-to-Text API、Translation API 和 Workbench。
- 虛擬機器管理 (VMM)
預設政策
根據預設,下列 GDC 代管服務會遵循下列原則:
| GDC 服務 | 原則 |
|---|---|
| 所有服務 | allow-all |
| GDC 控制台 | allow-all |
| gdcloud CLI | allow-all |
| 全球 API 伺服器 | deny-by-default |
| IAM | deny-by-default |
| KMS | deny-by-default |
| 物件儲存空間 | deny-by-default |
| SAR | allow-all |
| Vertex AI 和支援的服務 | deny-by-default |
| VMM | deny-by-default |
機構網路政策範例
以下是 OrganizationNetworkPolicy 資源的範例,可允許來自 IP 位址的流量存取 GDC 管理的服務。
kubectl --kubeconfig MANAGEMENT_API_SERVER apply -f - <<EOF
apiVersion: networking.gdc.goog/v1
kind: OrganizationNetworkPolicy
metadata:
name: POLICY_NAME
namespace: platform
spec:
subject:
services:
matchTypes:
- "SERVICE_NAME"
ingress:
- from:
- ipBlock:
cidr: CIDR
- ipBlock:
cidr: CIDR
EOF
請替換下列變數:
| 變數 | 說明 |
|---|---|
| MANAGEMENT_API_SERVER | 區域 API 伺服器的 kubeconfig 路徑。如果尚未在目標區域中為 API 伺服器產生 kubeconfig 檔案,請參閱「登入」一文瞭解詳情。 |
| POLICY_NAME | 政策的名稱。 舉例來說, allow-ui-access。 |
| SERVICE_NAME | 要套用政策的服務名稱。針對各項服務使用下列值:
|
| CIDR | 允許存取的 IP 位址範圍 (採用 CIDR 標記法),例如 10.251.0.0/24。您可以新增多個 ipBlock 項目,允許從多個範圍存取。 |