Questa pagina fornisce istruzioni per configurare i criteri di rete per il traffico intraprogetto in Google Distributed Cloud (GDC) con air gap.
I criteri di rete del progetto definiscono regole in entrata o in uscita. Puoi definire policy che consentono la comunicazione all'interno dei progetti, tra progetti e con indirizzi IP esterni.
Se è necessaria l'applicazione del traffico intra-progetto all'interno di una singola zona, consulta Crea criteri di rete a livello di workload.
Prima di iniziare
Per configurare i criteri di rete per il traffico intra-progetto, devi disporre di quanto segue:
- I ruoli di identità e accesso necessari. Per saperne di più, consulta Preparare ruoli e accesso predefiniti.
- Un progetto esistente. Per saperne di più, consulta Creare un progetto.
Crea una policy di gestione del traffico intraprogetto
Per il traffico all'interno di un progetto, GDC applica per impostazione predefinita a ogni progetto un criterio di rete del progetto predefinito, il criterio intra-progetto. Per impostazione predefinita, i workload in uno spazio dei nomi del progetto possono comunicare tra loro senza esporre nulla a risorse esterne.
Per impostazione predefinita, non esiste alcun criterio di uscita, pertanto il traffico in uscita è consentito per tutto il traffico all'interno del progetto. Tuttavia, quando imposti un singolo criterio di uscita, viene consentito solo il traffico specificato dal criterio.
Policy di rete per il traffico in entrata intraprogetto
Quando crei un progetto, crei implicitamente una risorsa di base
ProjectNetworkPolicy predefinita che consente la comunicazione all'interno del progetto. Questa policy
consente il traffico in entrata da altri workload nello stesso progetto.
Puoi rimuovere il criterio predefinito, ma tieni presente che questa rimozione comporta il rifiuto della comunicazione intraprogetto per tutti i servizi e i workload all'interno del progetto.
Crea un criterio di rete per il traffico in uscita globale all'interno del progetto
Specifica un criterio globale per applicare questo criterio di rete del progetto a tutte le zone dell'universo. Per saperne di più sulle risorse globali in un universo GDC, vedi Panoramica multizona.
Quando disattivi la prevenzione esfiltrazione di dati
e applichi al progetto una policy di uscita ProjectNetworkPolicy, ad esempio
impedendo l'accesso a una risorsa esterna, utilizza la seguente policy obbligatoria per consentire
il traffico in uscita intraprogetto:
kubectl --kubeconfig GLOBAL_API_SERVER apply -f - <<EOF
apiVersion: networking.global.gdc.goog/v1
kind: ProjectNetworkPolicy
metadata:
namespace: PROJECT
name: allow-intra-project-outbound-traffic
spec:
policyType: Egress
egress:
- to:
- projectSelector:
projects:
matchNames:
- PROJECT
EOF
Sostituisci quanto segue:
GLOBAL_API_SERVER: il percorso kubeconfig del server API globale. Per saperne di più, vedi Server API globali e di zona. Se non hai ancora generato un file kubeconfig per il server API, consulta la sezione Accedi per maggiori dettagli.PROJECT: il nome del progetto in cui vuoi consentire il traffico in uscita tra progetti.