Halaman ini memberikan petunjuk untuk mengonfigurasi kebijakan jaringan traffic intra-project di Google Distributed Cloud (GDC) air gap.
Kebijakan jaringan project menentukan aturan masuk atau keluar. Anda dapat menentukan kebijakan yang mengizinkan komunikasi dalam project, antar-project, dan ke alamat IP eksternal.
Jika penegakan traffic intra-project diperlukan dalam satu zona, lihat Membuat kebijakan jaringan tingkat workload.
Sebelum memulai
Untuk mengonfigurasi kebijakan jaringan traffic intra-project, Anda harus memiliki hal berikut:
- Peran akses dan identitas yang diperlukan. Untuk mengetahui informasi selengkapnya, lihat Menyiapkan peran dan akses yang telah ditetapkan.
- Project yang ada. Untuk mengetahui informasi selengkapnya, lihat Membuat project.
Membuat kebijakan traffic intra-project
Untuk traffic dalam project, GDC menerapkan kebijakan jaringan project yang telah ditentukan sebelumnya, yaitu kebijakan intra-project, ke setiap project secara default. Secara default, workload di namespace project dapat berkomunikasi satu sama lain tanpa mengekspos apa pun ke resource eksternal.
Secara default, tidak ada kebijakan egress, sehingga traffic keluar diizinkan untuk semua traffic intra-project. Namun, saat Anda menetapkan satu kebijakan keluar, hanya traffic yang ditentukan kebijakan yang diizinkan.
Kebijakan jaringan traffic intra-project ingress
Saat membuat project, Anda secara implisit membuat resource ProjectNetworkPolicy dasar default yang memungkinkan komunikasi dalam project. Kebijakan ini
mengizinkan traffic masuk dari workload lain dalam project yang sama.
Anda dapat menghapus kebijakan default, tetapi perlu diketahui bahwa penghapusan ini akan menolak komunikasi dalam project untuk semua layanan dan beban kerja dalam project.
Membuat kebijakan jaringan traffic intra-project egress global
Tentukan kebijakan global untuk menerapkan kebijakan jaringan project ini ke semua zona di alam semesta. Untuk mengetahui informasi selengkapnya tentang resource global di semesta GDC, lihat Ringkasan multi-zona.
Saat Anda menonaktifkan pencegahan eksfiltrasi data
dan menerapkan kebijakan keluar ProjectNetworkPolicy ke project, seperti
mencegah akses ke resource eksternal, gunakan kebijakan wajib berikut untuk mengizinkan
traffic keluar intra-project:
kubectl --kubeconfig GLOBAL_API_SERVER apply -f - <<EOF
apiVersion: networking.global.gdc.goog/v1
kind: ProjectNetworkPolicy
metadata:
namespace: PROJECT
name: allow-intra-project-outbound-traffic
spec:
policyType: Egress
egress:
- to:
- projectSelector:
projects:
matchNames:
- PROJECT
EOF
Ganti kode berikut:
GLOBAL_API_SERVER: jalur kubeconfig server API global. Untuk mengetahui informasi selengkapnya, lihat Server API global dan zonal. Jika Anda belum membuat file kubeconfig untuk server API, lihat Login untuk detailnya.PROJECT: nama project tempat Anda ingin mengizinkan traffic keluar intra-project.