Halaman ini memberikan petunjuk untuk mengonfigurasi kebijakan jaringan traffic lintas organisasi di Google Distributed Cloud (GDC) air-gapped.
Traffic lintas organisasi mengacu pada komunikasi antara layanan dan workload dari organisasi yang berbeda.
Sebelum memulai
Untuk mengonfigurasi kebijakan jaringan traffic lintas organisasi, Anda harus memiliki hal berikut:
- Peran akses dan identitas yang diperlukan. Untuk mengetahui informasi selengkapnya, lihat Menyiapkan peran dan akses yang telah ditetapkan.
- Project yang ada. Untuk mengetahui informasi selengkapnya, lihat Membuat project.
- Menonaktifkan perlindungan pemindahan data yang tidak sah.
- Salah satu konfigurasi jaringan berikut:
- Organisasi yang menggunakan Interconnect AttachmentGroup umum.
- Organisasi yang menggunakan konektivitas melalui jaringan yang di-peering eksternal masing-masing.
Membuat kebijakan traffic lintas organisasi
Anda dapat menentukan kebijakan traffic lintas organisasi masuk atau keluar untuk mengelola komunikasi antara layanan dan workload dari organisasi yang berbeda.
Traffic lintas organisasi mengacu pada komunikasi antara layanan dan workload dari organisasi yang berbeda.
Anda dapat membuat kebijakan jaringan project traffic lintas organisasi global yang berlaku untuk traffic di semua zona dalam organisasi Anda. Untuk mengetahui informasi selengkapnya tentang resource global di semesta GDC, lihat Ringkasan multi-zona.
Menghubungkan layanan dan workload ke tujuan di luar project Anda dalam organisasi yang berbeda memerlukan persetujuan eksplisit. Anda harus menonaktifkan perlindungan pemindahan data yang tidak sah untuk mengizinkan traffic lintas organisasi.
Membuat aturan firewall ingress global untuk traffic lintas organisasi
Saat mengekspos workload dalam project menggunakan load balancer eksternal, Anda juga harus membuat kebijakan ingress ProjectNetworkPolicy untuk mengizinkan alamat IP klien eksternal mengakses workload.
Kebijakan ingress global ini berlaku untuk semua zona di organisasi Anda.
Ikuti langkah-langkah berikut untuk membuat aturan firewall baru dan mengizinkan traffic masuk dari beban kerja dalam project organisasi yang berbeda:
Konsol
- Di konsol GDC project yang Anda konfigurasi, buka Networking > Firewall di menu navigasi untuk membuka halaman Firewall.
- Klik Buat di panel tindakan untuk mulai membuat aturan firewall baru.
Di halaman Detail aturan firewall, isi informasi berikut:
- Di kolom Nama, masukkan nama yang valid untuk aturan firewall Anda.
- Di bagian Direction of traffic, pilih Ingress untuk mengizinkan traffic masuk dari workload di organisasi lain.
- Di bagian Target, pilih salah satu opsi berikut:
- Semua beban kerja pengguna: mengizinkan koneksi ke beban kerja project yang Anda konfigurasi.
- Layanan: menunjukkan bahwa aturan firewall ini menargetkan layanan tertentu dalam project yang Anda konfigurasi.
- Jika target Anda adalah layanan project, pilih nama layanan dari daftar layanan yang tersedia di menu drop-down Layanan.
- Di bagian Dari, pilih Di luar organisasi dan masukkan blok CIDR organisasi lain di kolom CIDR untuk mengizinkan koneksi dari jaringan organisasi tersebut.
- Jika target Anda adalah semua workload pengguna, pilih salah satu opsi berikut di bagian Protocols and ports:
- Izinkan semua: mengizinkan koneksi menggunakan protokol atau port apa pun.
- Protokol dan port yang ditentukan: mengizinkan koneksi hanya menggunakan protokol dan port yang Anda tentukan di kolom yang sesuai untuk aturan firewall ingress.
Di halaman Firewall rule details, klik Create.
Anda kini telah mengizinkan koneksi dari beban kerja project organisasi lain. Setelah membuat aturan firewall, aturan tersebut akan terlihat dalam tabel di halaman Firewall.
API
Konfigurasi dan terapkan kebijakan ingress ProjectNetworkPolicy yang disesuaikan sendiri:
kubectl --kubeconfig GLOBAL_API_SERVER apply -f - <<EOF
apiVersion: networking.global.gdc.goog/v1
kind: ProjectNetworkPolicy
metadata:
namespace: PROJECT
name: allow-inbound-traffic-from-external
spec:
policyType: Ingress
subject:
subjectType: UserWorkload
ingress:
- from:
- ipBlock:
cidr: CIDR
EOF
Ganti kode berikut:
GLOBAL_API_SERVER: jalur kubeconfig server API global. Untuk mengetahui informasi selengkapnya, lihat Server API global dan zonal. Jika Anda belum membuat file kubeconfig untuk server API, lihat Login untuk mengetahui detailnya.PROJECT: nama project GDC.CIDR: blok CIDR organisasi lain.
Kebijakan ini diperlukan karena load balancer eksternal menggunakan Direct Server Return (DSR), yang mempertahankan alamat IP eksternal sumber dan melewati load balancer di jalur kembali.
Membuat aturan firewall keluar global untuk traffic lintas organisasi
Untuk mentransfer data ke layanan di luar organisasi, Anda harus menonaktifkan perlindungan pemindahan data yang tidak sah terlebih dahulu. Kemudian, Anda harus mengonfigurasi aturan firewall keluar untuk mengizinkan traffic keluar dari workload atau layanan project Anda.
Bagian ini menjelaskan proses untuk mengaktifkan traffic keluar di tingkat project. Untuk mengetahui informasi tentang cara mengelola konektivitas keluar di tingkat workload, lihat Mengelola traffic keluar dari workload.
Aturan firewall keluar global ini berlaku untuk semua zona di organisasi Anda.
Ikuti langkah-langkah berikut untuk membuat aturan firewall baru dan mengizinkan traffic keluar dari beban kerja atau layanan project ke beban kerja di organisasi lain:
Konsol
- Di konsol GDC project yang Anda konfigurasi, buka Networking > Firewall di menu navigasi untuk membuka halaman Firewall.
- Klik Buat di panel tindakan untuk mulai membuat aturan firewall baru.
Di halaman Detail aturan firewall, isi informasi berikut:
- Di kolom Nama, masukkan nama yang valid untuk aturan firewall Anda.
- Di bagian Direction of traffic, pilih Egress untuk menunjukkan bahwa aturan firewall ini mengontrol traffic keluar.
- Di bagian Target, pilih salah satu opsi berikut:
- Semua beban kerja pengguna: mengizinkan koneksi dari beban kerja project yang Anda konfigurasi.
- Layanan: menunjukkan bahwa aturan firewall ini menargetkan layanan tertentu dalam project yang Anda konfigurasi.
- Jika target Anda adalah layanan project, pilih nama layanan dari daftar layanan yang tersedia di menu drop-down Layanan.
- Di bagian Ke, pilih Di luar organisasi dan masukkan blok CIDR organisasi lain di kolom CIDR untuk mengizinkan koneksi ke jaringan organisasi tersebut.
- Jika target Anda adalah semua workload pengguna, pilih salah satu opsi berikut di bagian Protocols and ports:
- Izinkan semua: mengizinkan koneksi menggunakan protokol atau port apa pun.
- Protokol dan port yang ditentukan: mengizinkan koneksi hanya menggunakan protokol dan port yang Anda tentukan di kolom yang sesuai untuk aturan firewall keluar.
Di halaman Firewall rule details, klik Create.
Anda kini telah mengizinkan koneksi ke organisasi lain. Setelah membuat aturan firewall, aturan tersebut akan terlihat dalam tabel di halaman Firewall.
API
Untuk mengaktifkan traffic keluar ke layanan di luar organisasi, sesuaikan resource
ProjectNetworkPolicy Anda. Namun, karena pencegahan pemindahan data yang tidak sah diaktifkan secara default, kebijakan keluar ProjectNetworkPolicy yang disesuaikan akan menampilkan error validasi di kolom status, dan dataplane akan mengabaikannya. Perilaku ini terjadi
sesuai desain.
Anda dapat mentransfer beban kerja dari project tertentu jika Anda mengizinkan eksfiltrasi data untuk project tersebut. Traffic keluar yang Anda izinkan adalah terjemahan alamat jaringan (NAT) sumber menggunakan alamat IP terkenal yang dialokasikan untuk project.
Untuk mengaktifkan kebijakan keluar yang disesuaikan, ikuti langkah-langkah berikut:
Konfigurasi dan terapkan kebijakan keluar
ProjectNetworkPolicyyang disesuaikan sendiri pada semua beban kerja pengguna dalam project.Gunakan contoh berikut:
kubectl --kubeconfig GLOBAL_API_SERVER apply -f - <<EOF apiVersion: networking.global.gdc.goog/v1 kind: ProjectNetworkPolicy metadata: namespace: PROJECT name: allow-outbound-traffic-to-external spec: subject: subjectType: UserWorkload egress: - to: - ipBlock: cidr: CIDR EOFKebijakan ini mengizinkan traffic keluar ke semua host dalam blok CIDR, yang berada di luar organisasi. Upaya pertama Anda harus menyebabkan error status yang dimaksudkan dan diperlukan.
Konfirmasi bahwa Anda melihat error validasi dalam status Anda.
Minta Admin IAM Organisasi untuk menonaktifkan pencegahan pemindahan data yang tidak sah. Tindakan ini mengaktifkan konfigurasi Anda, sekaligus mencegah semua traffic keluar lainnya.
Periksa
ProjectNetworkPolicyyang Anda buat dan verifikasi bahwa error di kolom status validasi telah hilang, dan statusReadyadalahTrue, yang menunjukkan bahwa kebijakan Anda telah berlaku:kubectl --kubeconfig GLOBAL_API_SERVER \ get projectnetworkpolicy allow-outbound-traffic-to-external \ -n PROJECT -o yamlGanti kode berikut:
GLOBAL_API_SERVER: Jalur kubeconfig server API global. Untuk mengetahui informasi selengkapnya, lihat Server API global dan zonal. Jika Anda belum membuat file kubeconfig untuk server API, lihat Login untuk mengetahui detailnya.PROJECT: nama project GDC.
Setelah Anda menerapkan kebijakan ini, dan selama Anda belum menentukan kebijakan keluar lainnya, semua traffic keluar lainnya ditolak untuk PROJECT.