组织级网络政策用于定义通过 Google Distributed Cloud (GDC) 气隙公开的组织级托管服务的网络访问权限控制。您可以使用 Networking API 中的 OrganizationNetworkPolicy 资源来定义这些访问权限控制机制。
如需获得配置组织网络政策所需的权限,请让您的组织 Identity and Access Management (IAM) 管理员为您授予 Org Network Policy Admin (org-network-policy-admin) 角色。
您可以定义组织网络政策,以控制对以下 GDC 托管式服务的访问权限:
- 所有服务
- GDC 控制台
- Distributed Cloud CLI
- 全局 API 服务器
- Key Management Systems (KMS)
- 对象存储
- Vertex AI
- 政策支持的 Vertex AI 服务包括 Optical Character Recognition API、Speech-to-Text API、Translation API 和 Workbench。
默认政策
默认情况下,以下 GDC 托管式服务遵循以下原则:
| GDC 服务 | 原则 |
|---|---|
| 所有服务 | allow-all |
| GDC 控制台 | allow-all |
| gdcloud CLI | allow-all |
| 全局 API 服务器 | deny-by-default |
| KMS | deny-by-default |
| 对象存储 | deny-by-default |
| Vertex AI 和支持的服务 | deny-by-default |
组织网络政策示例
以下是一个 OrganizationNetworkPolicy 资源的示例,该资源允许来自某个 IP 地址的流量访问 GDC 代管式服务。
kubectl --kubeconfig MANAGEMENT_API_SERVER apply -f - <<EOF
apiVersion: networking.gdc.goog/v1
kind: OrganizationNetworkPolicy
metadata:
name: POLICY_NAME
namespace: platform
spec:
subject:
services:
matchTypes:
- "SERVICE_NAME"
ingress:
- from:
- ipBlock:
cidr: IP_ADDRESS
- ipBlock:
cidr: IP_ADDRESS
EOF
执行以下变量替换操作:
| 变量 | 说明 |
|---|---|
| MANAGEMENT_API_SERVER | 区域 API 服务器的 kubeconfig 路径。如果您尚未为目标可用区中的 API 服务器生成 kubeconfig 文件,请参阅登录了解详情。 |
| POLICY_NAME | 要为政策指定的名称。 例如, allow-ui-access。 |
| SERVICE_NAME | 要应用政策的服务的名称。为每项服务使用以下值:
|
| IP_ADDRESS | 允许访问的 IP 地址。例如 10.251.0.0/24。您还可以通过为每个 IP 地址定义多个 ipBlock 字段来添加多个 IP 地址。 |