Nesta página, fornecemos instruções para configurar políticas de rede de tráfego intraprojeto no Google Distributed Cloud (GDC) com isolamento físico.
As políticas de rede do projeto definem regras de entrada ou saída. É possível definir políticas que permitem a comunicação dentro de projetos, entre projetos e com endereços IP externo.
Se for necessário aplicar o tráfego entre projetos em uma única zona, consulte Criar políticas de rede no nível da carga de trabalho.
Antes de começar
Para configurar políticas de rede de tráfego entre projetos, você precisa ter o seguinte:
- Os papéis necessários de identidade e acesso. Para mais informações, consulte Preparar papéis predefinidos e acesso.
- Um projeto atual. Para mais informações, consulte Criar um projeto.
Criar uma política de tráfego intraprojeto
Para o tráfego em um projeto, o GDC aplica uma política de rede predefinida, a política intraprojeto, a cada projeto por padrão. Por padrão, as cargas de trabalho em um namespace de projeto podem se comunicar entre si sem expor nada a recursos externos.
Por padrão, não há política de saída, então o tráfego de saída é permitido para todo o tráfego intraprojeto. No entanto, quando você define uma única política de saída, apenas o tráfego especificado por ela é permitido.
Política de rede de tráfego de entrada entre projetos
Ao criar um projeto, você cria implicitamente um recurso ProjectNetworkPolicy base padrão que permite a comunicação entre projetos. Essa política
permite o tráfego de entrada de outras cargas de trabalho no mesmo projeto.
Você pode remover a política padrão, mas isso vai negar a comunicação entre projetos para todos os serviços e cargas de trabalho dentro do projeto.
Criar uma política de rede de tráfego de saída global entre projetos
Especifique uma política global para aplicar a política de rede do projeto a todas as zonas do universo. Para mais informações sobre recursos globais em um universo do GDC, consulte Visão geral de várias zonas.
Quando você desativa a prevenção de exfiltração de dados
e aplica uma política de saída do ProjectNetworkPolicy ao projeto, como
impedir o acesso a um recurso externo, use a seguinte política obrigatória para permitir
o tráfego de saída entre projetos:
kubectl --kubeconfig GLOBAL_API_SERVER apply -f - <<EOF
apiVersion: networking.global.gdc.goog/v1
kind: ProjectNetworkPolicy
metadata:
namespace: PROJECT
name: allow-intra-project-outbound-traffic
spec:
policyType: Egress
egress:
- to:
- projectSelector:
projects:
matchNames:
- PROJECT
EOF
Substitua:
GLOBAL_API_SERVER: o caminho do kubeconfig do servidor de API global. Para mais informações, consulte Servidores de API globais e zonais. Se você ainda não gerou um arquivo kubeconfig para o servidor da API, consulte Fazer login para mais detalhes.PROJECT: o nome do projeto em que você quer permitir o tráfego de saída entre projetos.