プロジェクト内のネットワーク ポリシーを作成する

このページでは、Google Distributed Cloud（GDC）エアギャップでプロジェクト内トラフィック ネットワーク ポリシーを構成する手順について説明します。

プロジェクト ネットワーク ポリシーは、上り（内向き）ルールまたは下り（外向き）ルールのいずれかを定義します。プロジェクト内、プロジェクト間、外部 IP アドレスへの通信を許可するポリシーを定義できます。

デフォルトでは、これらのポリシーはすべてのゾーンにグローバルに適用されます。GDC ユニバースのグローバル リソースの詳細については、マルチゾーンの概要をご覧ください。

単一ゾーン内でプロジェクト内トラフィックの適用が必要な場合は、単一ゾーンのワークロード レベルのプロジェクト内ポリシーを作成するをご覧ください。

始める前に

プロジェクト内トラフィック ネットワーク ポリシーを構成するには、次のものが必要です。

• 必要な ID とアクセスロール。特定のプロジェクトのポリシーを管理するには、project-networkpolicy-admin ロールが必要です。すべてのゾーンにまたがるポリシーを管理する必要があるマルチゾーン環境では、global-project-networkpolicy-admin ロールが必要です。詳細については、事前定義ロールとアクセスを準備するをご覧ください。
• 既存のプロジェクト。詳細については、プロジェクトを作成するをご覧ください。

プロジェクト内ポリシーを作成する

プロジェクト内のトラフィックの場合、GDC はデフォルトで、事前定義されたプロジェクト ネットワーク ポリシー（プロジェクト内ポリシー）を各プロジェクトに適用します。デフォルトでは、プロジェクト Namespace のワークロードは、外部リソースに何も公開せずに相互に通信できます。

デフォルトでは下り（外向き）ポリシーがないため、プロジェクト内のすべてのトラフィックでアウトバウンド トラフィックが許可されます。ただし、単一の下り（外向き）ポリシーを設定すると、ポリシーで指定されたトラフィックのみが許可されます。

内向きのプロジェクト内ポリシーを作成する

プロジェクトを作成すると、プロジェクト内の通信を可能にするデフォルトのベース ProjectNetworkPolicy リソースが暗黙的に作成されます。このポリシーでは、同じプロジェクト内の他のワークロードからのインバウンド トラフィックが許可されます。

デフォルト ポリシーは削除できますが、削除すると、プロジェクト内のすべてのサービスとワークロードでプロジェクト内の通信が拒否されることに注意してください。ポリシーを削除するには、kubectl delete コマンドを使用します。

kubectl --kubeconfig GLOBAL_API_SERVER delete pnp base-policy-allow-intra-project-traffic -n PROJECT

次のマニフェストを適用すると、デフォルト ポリシーを再度追加できます。

kubectl --kubeconfig GLOBAL_API_SERVER apply -f - <<EOF
apiVersion: networking.global.gdc.goog/v1
kind: ProjectNetworkPolicy
metadata:
  namespace: PROJECT
  name: base-policy-allow-intra-project-traffic
spec:
  policyType: Ingress
  ingress:
  - from:
    - projectSelector:
        projects:
          matchNames:
          - PROJECT
EOF

次のように置き換えます。

• GLOBAL_API_SERVER: グローバル API サーバーの kubeconfig パス。詳細については、グローバル API サーバーとゾーン API サーバーをご覧ください。API サーバーの kubeconfig ファイルをまだ生成していない場合は、ログインで詳細を確認してください。
• PROJECT: プロジェクトの名前。

外向き（下り）プロジェクト内ポリシーを作成する

データ引き出し防止を無効にして、外部リソースへのアクセスを禁止するなど、ProjectNetworkPolicy 下り（外向き）ポリシーをプロジェクトに適用する場合は、次の必須ポリシーを使用して、プロジェクト内のアウトバウンド トラフィックを許可します。

kubectl --kubeconfig GLOBAL_API_SERVER apply -f - <<EOF
apiVersion: networking.global.gdc.goog/v1
kind: ProjectNetworkPolicy
metadata:
  namespace: PROJECT
  name: allow-intra-project-outbound-traffic
spec:
  policyType: Egress
  egress:
  - to:
    - projectSelector:
        projects:
          matchNames:
          - PROJECT
EOF

次のように置き換えます。

• GLOBAL_API_SERVER: グローバル API サーバーの kubeconfig パス。詳細については、グローバル API サーバーとゾーン API サーバーをご覧ください。API サーバーの kubeconfig ファイルをまだ生成していない場合は、ログインで詳細を確認してください。
• PROJECT: プロジェクトの名前。

ワークロード レベルのプロジェクト内ポリシーを作成する

ワークロード レベルのネットワーク ポリシーを使用すると、プロジェクト内の個々のワークロード間の通信をきめ細かく制御できます。この粒度により、ネットワーク アクセスをより厳密に制御できるため、セキュリティとリソースの使用率が向上します。

内向きワークロード レベルのプロジェクト内ポリシーを作成する

プロジェクトを作成すると、すべてのワークロード間のプロジェクト内通信を可能にするデフォルトのベース ProjectNetworkPolicy リソースが暗黙的に作成されます。このポリシーでは、同じプロジェクト内の他のワークロードからのインバウンド トラフィックが許可されます。

上り（内向き）ワークロード レベルのプロジェクト内ポリシーを作成するには、まずデフォルトのベースポリシーを削除する必要があります。そうしないと、予期しない動作が発生する可能性があります。

1. デフォルトのベースポリシーを削除するには、次のコマンドを実行します。

   kubectl --kubeconfig GLOBAL_API_SERVER delete pnp base-policy-allow-intra-project-traffic -n PROJECT
   

2. 上り（内向き）のワークロード レベルのプロジェクト内ポリシーを作成するには、次のカスタム リソースを作成して適用します。

   kubectl --kubeconfig GLOBAL_API_SERVER apply -f - <<EOF
   apiVersion: networking.global.gdc.goog/v1
   kind: ProjectNetworkPolicy
   metadata:
     namespace: PROJECT
     name: allow-workload-level-intra-project-inbound-traffic
   spec:
     policyType: Ingress
     subject:
       subjectType: UserWorkload
       userWorkloadSelector:
         labelSelector:
           workloads:
             matchLabels:
               SUBJECT_LABEL_KEY: SUBJECT_LABEL_VALUE
     ingress:
     - from:
       - projectSelector:
           projects:
             matchNames:
             - PROJECT
           workloadSelector:
             labelSelector:
               workloads:
                 matchLabels:
                   PEER_LABEL_KEY: PEER_LABEL_VALUE
   EOF
   

   次のように置き換えます。

   • GLOBAL_API_SERVER: グローバル API サーバーの kubeconfig パス。詳細については、グローバル API サーバーとゾーン API サーバーをご覧ください。API サーバーの kubeconfig ファイルをまだ生成していない場合は、ログインで詳細を確認してください。
   • PROJECT: プロジェクトの名前。
   • SUBJECT_LABEL_KEY: サブジェクト ワークロードの選択に使用されるラベルのキー。例: app、tier、または role
   • SUBJECT_LABEL_VALUE: SUBJECT_LABEL_KEY に関連付けられた値。たとえば、SUBJECT_LABEL_KEY が app で、SUBJECT_LABEL_VALUE が backend の場合、ラベル app: backend のワークロードがトラフィックを受信しています。
   • PEER_LABEL_KEY: ピア ワークロードの選択に使用されるラベルのキー。
   • PEER_LABEL_VALUE: PEER_LABEL_KEY に関連付けられた値。

下り（外向き）ワークロード レベルのプロジェクト内ポリシーを作成する

• 外向きワークロード レベルのプロジェクト内ポリシーを作成するには、次のカスタム リソースを作成して適用します。

  kubectl --kubeconfig GLOBAL_API_SERVER apply -f - <<EOF
  apiVersion: networking.global.gdc.goog/v1
  kind: ProjectNetworkPolicy
  metadata:
    namespace: PROJECT
    name: allow-workload-level-intra-project-outbound-traffic
  spec:
    policyType: Egress
    subject:
      subjectType: UserWorkload
      userWorkloadSelector:
        labelSelector:
          workloads
            matchLabels:
              SUBJECT_LABEL_KEY: SUBJECT_LABEL_VALUE
    egress:
    - to:
      - projectSelector:
          projects:
            matchNames:
            - PROJECT
          workloadSelector:
            labelSelector:
              workloads:
                matchLabels:
                  PEER_LABEL_KEY: PEER_LABEL_VALUE
  EOF
  

  次のように置き換えます。

  • GLOBAL_API_SERVER: グローバル API サーバーの kubeconfig パス。詳細については、グローバル API サーバーとゾーン API サーバーをご覧ください。API サーバーの kubeconfig ファイルをまだ生成していない場合は、ログインで詳細を確認してください。
  • PROJECT: プロジェクトの名前。
  • SUBJECT_LABEL_KEY: サブジェクト ワークロードの選択に使用されるラベルのキー。例: app、tier、または role
  • SUBJECT_LABEL_VALUE: SUBJECT_LABEL_KEY に関連付けられた値。たとえば、SUBJECT_LABEL_KEY が app で、SUBJECT_LABEL_VALUE が backend の場合、ラベル app: backend のワークロードがトラフィックを送信しています。
  • PEER_LABEL_KEY: ピア ワークロードの選択に使用されるラベルのキー。
  • PEER_LABEL_VALUE: PEER_LABEL_KEY に関連付けられた値。

単一ゾーンのワークロード レベルのプロジェクト内ポリシーを作成する

ワークロード単位のネットワーク ポリシーは、単一のゾーンに沿って PNP を適用できます。特定のラベルを単一ゾーン内のワークロードに追加すると、そのゾーンのプロジェクト内または異なるプロジェクト内の個々のワークロード間の通信を制御できます。

単一ゾーンの内向きワークロード レベルのプロジェクト内ポリシーを作成する

プロジェクトを作成すると、すべてのワークロード間のプロジェクト内通信を可能にするデフォルトのベース ProjectNetworkPolicy リソースが暗黙的に作成されます。このポリシーでは、同じプロジェクト内の他のワークロードからのインバウンド トラフィックが許可されます。

単一ゾーンのイングレステワークロード レベルのプロジェクト内ポリシーを作成するには、まずデフォルトの基本ポリシーを削除する必要があります。そうしないと、予期しない動作が発生する可能性があります。

1. デフォルトのベースポリシーを削除するには、次のコマンドを実行します。

   kubectl --kubeconfig GLOBAL_API_SERVER delete pnp base-policy-allow-intra-project-traffic -n PROJECT
   

2. 単一ゾーンの Ingress ワークロード レベルのプロジェクト内トラフィック ネットワーク ポリシーを作成するには、次のカスタム リソースを作成して適用します。

   kubectl --kubeconfig GLOBAL_API_SERVER apply -f - <<EOF
   apiVersion: networking.global.gdc.goog/v1
   kind: ProjectNetworkPolicy
   metadata:
     namespace: PROJECT
     name: allow-single-zone-intra-project-inbound-traffic
   spec:
     policyType: Ingress
     subject:
       subjectType: UserWorkload
       userWorkloadSelector:
         labelSelector:
           workloads:
             matchLabels:
               SUBJECT_LABEL_KEY: SUBJECT_LABEL_VALUE
               ZONE_SUBJECT_LABEL_KEY: ZONE_SUBJECT_LABEL_VALUE
     ingress:
     - from:
       - projectSelector:
           projects:
             matchNames:
             - PROJECT
           workloadSelector:
             labelSelector:
               workloads:
                 matchLabels:
                   PEER_LABEL_KEY: PEER_LABEL_VALUE
                   ZONE_PEER_LABEL_KEY: ZONE_PEER_LABEL_VALUE
   EOF
   

   次のように置き換えます。

   • GLOBAL_API_SERVER: グローバル API サーバーの kubeconfig パス。詳細については、グローバル API サーバーとゾーン API サーバーをご覧ください。API サーバーの kubeconfig ファイルをまだ生成していない場合は、ログインで詳細を確認してください。
   • PROJECT: プロジェクトの名前。
   • SUBJECT_LABEL_KEY: サブジェクト ワークロードの選択に使用されるラベルのキー。例: app、tier、または role
   • SUBJECT_LABEL_VALUE: SUBJECT_LABEL_KEY に関連付けられた値。たとえば、SUBJECT_LABEL_KEY が app で、SUBJECT_LABEL_VALUE が backend の場合、ラベル app: backend のワークロードがトラフィックを受信しています。
   • PEER_LABEL_KEY: ピア ワークロードの選択に使用されるラベルのキー。
   • PEER_LABEL_VALUE: PEER_LABEL_KEY に関連付けられた値。
   • ZONE_SUBJECT_LABEL_KEY: サブジェクト ゾーンの選択に使用されるラベルのキー。例: zone、または region。
   • ZONE_SUBJECT_LABEL_VALUE: ZONE_SUBJECT_LABEL_KEY に関連付けられた値。たとえば、ZONE_SUBJECT_LABEL_KEY が zone で、ZONE_SUBJECT_LABEL_VALUE が us-central1-a の場合、ラベル zone: us-central1-a のワークロードがトラフィックを受信しています。
   • ZONE_PEER_LABEL_KEY: ピアに関連付けられたゾーンの選択に使用されるラベルのキー。
   • ZONE_PEER_LABEL_VALUE: ZONE_PEER_LABEL_KEY に関連付けられた値。

単一ゾーンの下り（外向き）ワークロード レベルのプロジェクト内ポリシーを作成する

• 単一ゾーンの外部送信ワークロード レベルのプロジェクト内ポリシーを作成するには、次のカスタム リソースを作成して適用します。

  kubectl --kubeconfig GLOBAL_API_SERVER apply -f - <<EOF
  apiVersion: networking.global.gdc.goog/v1
  kind: ProjectNetworkPolicy
  metadata:
    namespace: PROJECT
    name: allow-single-zone-intra-project-outbound-traffic
  spec:
    policyType: Egress
    subject:
      subjectType: UserWorkload
      userWorkloadSelector:
        labelSelector:
          workloads:
            matchLabels:
              SUBJECT_LABEL_KEY: SUBJECT_LABEL_VALUE
              ZONE_SUBJECT_LABEL_KEY: ZONE_SUBJECT_LABEL_VALUE
    egress:
    - to:
      - projectSelector:
          projects:
            matchNames:
            - PROJECT
          workloadSelector:
            labelSelector:
              workloads:
                matchLabels:
                  PEER_LABEL_KEY: PEER_LABEL_VALUE
                  ZONE_PEER_LABEL_KEY: ZONE_PEER_LABEL_VALUE
  EOF
  

  次のように置き換えます。

  • GLOBAL_API_SERVER: グローバル API サーバーの kubeconfig パス。詳細については、グローバル API サーバーとゾーン API サーバーをご覧ください。API サーバーの kubeconfig ファイルをまだ生成していない場合は、ログインで詳細を確認してください。
  • PROJECT: プロジェクトの名前。
  • SUBJECT_LABEL_KEY: サブジェクト ワークロードの選択に使用されるラベルのキー。例: app、tier、または role
  • SUBJECT_LABEL_VALUE: SUBJECT_LABEL_KEY に関連付けられた値。たとえば、SUBJECT_LABEL_KEY が app で、SUBJECT_LABEL_VALUE が backend の場合、ラベル app: backend のワークロードがトラフィックを受信しています。
  • PEER_LABEL_KEY: ピア ワークロードの選択に使用されるラベルのキー。
  • PEER_LABEL_VALUE: PEER_LABEL_KEY に関連付けられた値。
  • ZONE_SUBJECT_LABEL_KEY: サブジェクト ゾーンの選択に使用されるラベルのキー。例: zone、または region。
  • ZONE_SUBJECT_LABEL_VALUE: ZONE_SUBJECT_LABEL_KEY に関連付けられた値。たとえば、ZONE_SUBJECT_LABEL_KEY が zone で、ZONE_SUBJECT_LABEL_VALUE が us-central1-a の場合、ラベル zone: us-central1-a のワークロードがトラフィックを受信しています。
  • ZONE_PEER_LABEL_KEY: ピアに関連付けられたゾーンの選択に使用されるラベルのキー。
  • ZONE_PEER_LABEL_VALUE: ZONE_PEER_LABEL_KEY に関連付けられた値。

Standard クラスタのプロジェクト内ポリシーを作成する

Standard クラスタは、プロジェクト スコープの Kubernetes クラスタであり、より優れた制御、柔軟性、クラスタ管理者の権限を提供します。プロジェクト内ポリシーを作成すると、デフォルトで標準クラスタに継承されます。このポリシーでは、同じプロジェクトにある標準クラスタ内のすべての通信が許可されます。

標準クラスタの内向きプロジェクト内ポリシーを作成する

プロジェクトを作成すると、すべてのワークロード間のプロジェクト内通信を可能にするデフォルトのベース ProjectNetworkPolicy リソースが暗黙的に作成されます。このポリシーでは、同じプロジェクト内の他のワークロードからのインバウンド トラフィックが許可され、プロジェクト内の Standard クラスタ内のすべてのワークロード間のクラスタ内通信も許可されます。

標準クラスタのプロジェクト内上り（内向き）ポリシーを作成するには、まずデフォルトのベースポリシーを削除する必要があります。そうしないと、予期しない動作が発生する可能性があります。

1. デフォルトのベースポリシーを削除するには、次のコマンドを実行します。

   kubectl --kubeconfig GLOBAL_API_SERVER delete pnp base-policy-allow-intra-project-traffic -n PROJECT
   

   次のマニフェストを適用すると、デフォルト ポリシーを再度追加できます。

   kubectl --kubeconfig GLOBAL_API_SERVER apply -f - <<EOF
   apiVersion: networking.global.gdc.goog/v1
   kind: ProjectNetworkPolicy
   metadata:
     namespace: PROJECT
     name: base-policy-allow-intra-project-traffic
   spec:
     policyType: Ingress
     ingress:
     - from:
       - projectSelector:
           projects:
             matchNames:
             - PROJECT
   EOF
   

   次のように置き換えます。

   • GLOBAL_API_SERVER: グローバル API サーバーの kubeconfig パス。詳細については、グローバル API サーバーとゾーン API サーバーをご覧ください。API サーバーの kubeconfig ファイルをまだ生成していない場合は、ログインで詳細を確認してください。
   • PROJECT: プロジェクトの名前。

2. 標準クラスタでクラスタ内 Pod 間ポリシーを作成するには、次のカスタム リソースを作成して適用します。

   kubectl --kubeconfig GLOBAL_API_SERVER apply -f - <<EOF
   apiVersion: networking.global.gdc.goog/v1
   kind: ProjectNetworkPolicy
   metadata:
     namespace: STANDARD_CLUSTER_PROJECT
     name: allow-ingress-from-intra-cluster-traffic
   spec:
     policyType: Ingress
     subject:
       subjectType: UserWorkload
       userWorkloadSelector:
         labelSelector:
           clusters:
             matchLabels:
               kubernetes.io/metadata.name: STANDARD_CLUSTER_NAME
           namespaces:
             matchLabels:
               kubernetes.io/metadata.name: SUBJECT_NAMESPACE
           workloads:
             matchLabels:
               SUBJECT_LABEL_KEY: SUBJECT_LABEL_VALUE
     ingress:
     - from:
       - projectSelector:
           projects:
             matchNames:
             - STANDARD_CLUSTER_PROJECT
           workloadSelector:
             labelSelector:
               clusters:
                 matchLabels:
                   kubernetes.io/metadata.name: STANDARD_CLUSTER_NAME
               namespaces:
                 matchLabels:
                   kubernetes.io/metadata.name: PEER_NAMESPACE
               workloads:
                 matchLabels:
                   PEER_LABEL_KEY: PEER_LABEL_VALUE
   EOF
   

   次のように置き換えます。

   • GLOBAL_API_SERVER: グローバル API サーバーの kubeconfig パス。詳細については、グローバル API サーバーとゾーン API サーバーをご覧ください。API サーバーの kubeconfig ファイルをまだ生成していない場合は、ログインで詳細を確認してください。
   • STANDARD_CLUSTER_PROJECT: 標準クラスタ プロジェクトの名前。
   • STANDARD_CLUSTER_NAME: Standard クラスタの名前。
   • SUBJECT_NAMESPACE: 標準クラスタのサブジェクト Namespace。
   • PEER_NAMESPACE: Standard クラスタのピア Namespace。
   • SUBJECT_LABEL_KEY: サブジェクト ワークロードの選択に使用されるラベルのキー。例: app、tier、または role
   • SUBJECT_LABEL_VALUE: SUBJECT_LABEL_KEY に関連付けられた値。たとえば、SUBJECT_LABEL_KEY が app で、SUBJECT_LABEL_VALUE が backend の場合、ラベル app: backend のワークロードがトラフィックを受信しています。
   • PEER_LABEL_KEY: ピア ワークロードの選択に使用されるラベルのキー。
   • PEER_LABEL_VALUE: PEER_LABEL_KEY に関連付けられた値。

3. 標準クラスタで上り（内向き）クラスタ内ノードから Pod へのポリシーを作成するには、次のカスタム リソースを作成して適用します。

   kubectl --kubeconfig GLOBAL_API_SERVER apply -f - <<EOF
   apiVersion: networking.global.gdc.goog/v1
   kind: ProjectNetworkPolicy
   metadata:
     namespace: STANDARD_CLUSTER_PROJECT
     name: allow-ingress-from-node-to-pod-traffic
   spec:
     policyType: Ingress
     subject:
       subjectType: UserWorkload
       userWorkloadSelector:
         labelSelector:
           clusters:
             matchLabels:
               kubernetes.io/metadata.name: STANDARD_CLUSTER_NAME
           namespaces:
             matchLabels:
               kubernetes.io/metadata.name: SUBJECT_NAMESPACE
           workloads:
             matchLabels:
               SUBJECT_LABEL_KEY: SUBJECT_LABEL_VALUE
     ingress:
     - from:
       - ipBlocks:
         - cidr: NODE_IP
       ports:
       - protocol: TCP
         port: PORT
   EOF
   

   次のように置き換えます。

   • GLOBAL_API_SERVER: グローバル API サーバーの kubeconfig パス。詳細については、グローバル API サーバーとゾーン API サーバーをご覧ください。API サーバーの kubeconfig ファイルをまだ生成していない場合は、ログインで詳細を確認してください。
   • STANDARD_CLUSTER_PROJECT: 標準クラスタ プロジェクトの名前。
   • STANDARD_CLUSTER_NAME: Standard クラスタの名前。
   • SUBJECT_LABEL_KEY: サブジェクト ワークロードの選択に使用されるラベルのキー。例: app、tier、または role
   • SUBJECT_LABEL_VALUE: SUBJECT_LABEL_KEY に関連付けられた値。たとえば、SUBJECT_LABEL_KEY が app で、SUBJECT_LABEL_VALUE が backend の場合、ラベル app: backend のワークロードがトラフィックを受信しています。
   • NODE_IP: ノードの IP アドレス。
   • PORT: トラフィックが許可されているサブジェクト ワークロードのポート。

標準クラスタの下り（外向き）プロジェクト内ポリシーを作成する

1. 標準クラスタで下り（内向き）クラスタ内 Pod 間ポリシーを作成するには、次のカスタム リソースを作成して適用します。

   kubectl --kubeconfig GLOBAL_API_SERVER apply -f - <<EOF
   apiVersion: networking.global.gdc.goog/v1
   kind: ProjectNetworkPolicy
   metadata:
     namespace: STANDARD_CLUSTER_PROJECT
     name: allow-egress-to-intra-cluster-traffic
   spec:
     policyType: Egress
     subject:
       subjectType: UserWorkload
       userWorkloadSelector:
         labelSelector:
           clusters:
             matchLabels:
               kubernetes.io/metadata.name: STANDARD_CLUSTER_NAME
           namespaces:
             matchLabels:
               kubernetes.io/metadata.name: SUBJECT_NAMESPACE
           workloads:
             matchLabels:
               SUBJECT_LABEL_KEY: SUBJECT_LABEL_VALUE
     egress:
     - to:
       - projectSelector:
           projects:
             matchNames:
             - STANDARD_CLUSTER_PROJECT
           workloadSelector:
             labelSelector:
               clusters:
                 matchLabels:
                   kubernetes.io/metadata.name: STANDARD_CLUSTER_NAME
               namespaces:
                 matchLabels:
                   kubernetes.io/metadata.name: PEER_NAMESPACE
               workloads:
                 matchLabels:
                   PEER_LABEL_KEY: PEER_LABEL_VALUE
   EOF
   

   次のように置き換えます。

   • GLOBAL_API_SERVER: グローバル API サーバーの kubeconfig パス。詳細については、グローバル API サーバーとゾーン API サーバーをご覧ください。API サーバーの kubeconfig ファイルをまだ生成していない場合は、ログインで詳細を確認してください。
   • STANDARD_CLUSTER_PROJECT: 標準クラスタ プロジェクトの名前。
   • STANDARD_CLUSTER_NAME: Standard クラスタの名前。
   • SUBJECT_NAMESPACE: 標準クラスタのサブジェクト Namespace。
   • PEER_NAMESPACE: Standard クラスタのピア Namespace。
   • SUBJECT_LABEL_KEY: サブジェクト ワークロードの選択に使用されるラベルのキー。例: app、tier、または role
   • SUBJECT_LABEL_VALUE: SUBJECT_LABEL_KEY に関連付けられた値。たとえば、SUBJECT_LABEL_KEY が app で、SUBJECT_LABEL_VALUE が backend の場合、ラベル app: backend のワークロードがトラフィックを送信しています。
   • PEER_LABEL_KEY: ピア ワークロードの選択に使用されるラベルのキー。
   • PEER_LABEL_VALUE: PEER_LABEL_KEY に関連付けられた値。
   1. 標準クラスタで下り（外向き）クラスタ内 Pod-ノード ポリシーを作成するには、次のカスタム リソースを作成して適用します。

   kubectl --kubeconfig GLOBAL_API_SERVER apply -f - <<EOF
   apiVersion: networking.global.gdc.goog/v1
   kind: ProjectNetworkPolicy
   metadata:
     namespace: STANDARD_CLUSTER_PROJECT
     name: allow-egress-from-pod-to-node-traffic
   spec:
     policyType: Egress
     subject:
       subjectType: UserWorkload
       userWorkloadSelector:
         labelSelector:
           clusters:
             matchLabels:
               kubernetes.io/metadata.name: STANDARD_CLUSTER_NAME
           namespaces:
             matchLabels:
               kubernetes.io/metadata.name: SUBJECT_NAMESPACE
           workloads:
             matchLabels:
               SUBJECT_LABEL_KEY: SUBJECT_LABEL_VALUE
     egress:
     - to:
       - ipBlocks:
         - cidr: NODE_IP
       ports:
       - protocol: TCP
         port: PORT
   EOF
   

   次のように置き換えます。

   • GLOBAL_API_SERVER: グローバル API サーバーの kubeconfig パス。詳細については、グローバル API サーバーとゾーン API サーバーをご覧ください。API サーバーの kubeconfig ファイルをまだ生成していない場合は、ログインで詳細を確認してください。
   • STANDARD_CLUSTER_PROJECT: 標準クラスタ プロジェクトの名前。
   • STANDARD_CLUSTER_NAME: Standard クラスタの名前。
   • SUBJECT_LABEL_KEY: サブジェクト ワークロードの選択に使用されるラベルのキー。例: app、tier、または role
   • SUBJECT_LABEL_VALUE: SUBJECT_LABEL_KEY に関連付けられた値。たとえば、SUBJECT_LABEL_KEY が app で、SUBJECT_LABEL_VALUE が backend の場合、ラベル app: backend のワークロードがトラフィックを送信しています。
   • NODE_IP: ノードの IP アドレス。
   • PORT: トラフィックが許可されるノード IP のポート。