Cette page explique comment configurer des règles de réseau pour le trafic intra-projet dans Google Distributed Cloud (GDC) sous air gap.
Les règles de réseau du projet définissent des règles d'entrée ou de sortie. Vous pouvez définir des règles qui autorisent la communication au sein des projets, entre les projets et vers des adresses IP externes.
Si l'application du trafic intra-projet est nécessaire dans une seule zone, consultez Créer des règles de réseau au niveau de la charge de travail.
Avant de commencer
Pour configurer des règles de réseau de trafic intra-projet, vous devez disposer des éléments suivants :
- Les rôles d'identité et d'accès nécessaires. Pour en savoir plus, consultez Préparer les rôles et les accès prédéfinis.
- Un projet existant. Pour en savoir plus, consultez Créer un projet.
Créer une règle de trafic intra-projet
Pour le trafic au sein d'un projet, GDC applique par défaut une stratégie de réseau de projet prédéfinie, la stratégie intra-projet, à chaque projet. Par défaut, les charges de travail d'un espace de noms de projet peuvent communiquer entre elles sans rien exposer aux ressources externes.
Par défaut, aucune règle de sortie n'est appliquée. Le trafic sortant est donc autorisé pour tout le trafic intra-projet. Toutefois, lorsque vous définissez une seule règle de trafic sortant, seul le trafic spécifié par la règle est autorisé.
Stratégie de réseau pour le trafic d'Ingress intra-projet
Lorsque vous créez un projet, vous créez implicitement une ressource ProjectNetworkPolicy de base par défaut qui permet la communication au sein du projet. Cette règle autorise le trafic entrant provenant d'autres charges de travail du même projet.
Vous pouvez supprimer la règle par défaut, mais sachez que cela entraînera le refus de la communication intra-projet pour tous les services et charges de travail du projet.
Créer une stratégie de réseau de trafic de sortie intra-projet globale
Spécifiez une stratégie globale pour appliquer cette stratégie de réseau de projet à toutes les zones de l'univers. Pour en savoir plus sur les ressources globales dans un univers GDC, consultez Présentation des multizones.
Lorsque vous désactivez la protection contre l'exfiltration de données et que vous appliquez une règle de sortie ProjectNetworkPolicy au projet, par exemple en empêchant l'accès à une ressource externe, utilisez la règle requise suivante pour autoriser le trafic sortant intra-projet :
kubectl --kubeconfig GLOBAL_API_SERVER apply -f - <<EOF
apiVersion: networking.global.gdc.goog/v1
kind: ProjectNetworkPolicy
metadata:
namespace: PROJECT
name: allow-intra-project-outbound-traffic
spec:
policyType: Egress
egress:
- to:
- projectSelector:
projects:
matchNames:
- PROJECT
EOF
Remplacez les éléments suivants :
GLOBAL_API_SERVER: chemin d'accès au fichier kubeconfig du serveur d'API global. Pour en savoir plus, consultez Serveurs d'API globaux et zonaux. Si vous n'avez pas encore généré de fichier kubeconfig pour le serveur d'API, consultez Se connecter pour en savoir plus.PROJECT: nom du projet pour lequel vous souhaitez autoriser le trafic sortant intra-projet.