En esta página se proporcionan instrucciones para configurar políticas de red de tráfico externo a la organización en Google Distributed Cloud (GDC) con air gap.
El tráfico externo a la organización hace referencia a la comunicación entre servicios y cargas de trabajo de diferentes organizaciones y endpoints externos.
Antes de empezar
Para configurar políticas de red de tráfico externo a la organización, debes tener lo siguiente:
- Los roles de identidad y acceso necesarios. Para obtener más información, consulta Preparar roles y acceso predefinidos.
- Un proyecto que ya tengas. Para obtener más información, consulta Crear un proyecto.
- Inhabilita la protección contra la filtración externa de datos.
- Una de las siguientes configuraciones de red:
- Organizaciones que usan un InterconnectAttachmentGroup común.
- Organizaciones que usan la conectividad a través de sus respectivas redes externas emparejadas.
Crear una política de tráfico externo a la organización
Puedes definir políticas de tráfico de entrada o salida externas a la organización para gestionar la comunicación entre servicios y cargas de trabajo de diferentes organizaciones y endpoints externos.
Puede crear políticas de red de proyectos de tráfico externas a la organización globales que se apliquen al tráfico de todas las zonas de su organización. Para obtener más información sobre los recursos globales en un universo de GDC, consulta el artículo Descripción general de las multizonas.
Para conectar servicios y cargas de trabajo a un destino fuera de tu proyecto en otra organización, se necesita una aprobación explícita. Para permitir el tráfico externo a la organización, debes inhabilitar la protección contra la filtración externa de datos.
Crear una regla de cortafuegos de entrada global para el tráfico externo a la organización
Cuando expongas cargas de trabajo en tu proyecto mediante un balanceador de carga externo, también debes crear una política de ProjectNetworkPolicy de entrada para permitir que las direcciones IP de los clientes externos accedan a las cargas de trabajo.
Esta política de entrada global se aplica a todas las zonas de tu organización.
Sigue estos pasos para crear una regla de cortafuegos y permitir el tráfico entrante de cargas de trabajo de un proyecto de otra organización:
Consola
- En la consola de GDC del proyecto que estés configurando, ve a Redes > Firewall en el menú de navegación para abrir la página Firewall.
- Haga clic en Crear en la barra de acciones para empezar a crear una regla de cortafuegos.
En la página Detalles de regla de cortafuegos, rellena la siguiente información:
- En el campo Nombre, introduce un nombre válido para la regla de cortafuegos.
- En la sección Dirección del tráfico, selecciona Entrada para permitir el tráfico entrante de cargas de trabajo de otras organizaciones.
- En la sección Objetivo, seleccione una de las siguientes opciones:
- Todas las cargas de trabajo de los usuarios: permite las conexiones a las cargas de trabajo del proyecto que estás configurando.
- Servicio: indica que esta regla de cortafuegos está dirigida a un servicio específico del proyecto que estás configurando.
- Si tu objetivo es un servicio de proyecto, selecciona el nombre del servicio en la lista de servicios disponibles del menú desplegable Servicio.
- En la sección Desde, selecciona Fuera de la organización e introduce el bloque CIDR de otra organización en el campo CIDR para permitir las conexiones desde la red de esa organización.
- Si tu objetivo son todas las cargas de trabajo de los usuarios, selecciona una de las siguientes opciones en la sección Protocolos y puertos:
- Permitir todo: permite las conexiones mediante cualquier protocolo o puerto.
- Protocolos y puertos especificados: permite las conexiones que usen solo los protocolos y puertos que especifiques en los campos correspondientes de la regla de cortafuegos de entrada.
En la página Detalles de la regla de cortafuegos, haz clic en Crear.
Ahora has permitido las conexiones de las cargas de trabajo del proyecto de otra organización. Una vez creada la regla de cortafuegos, se mostrará en una tabla de la página Cortafuegos.
API
Configura y aplica tu propia política de entrada ProjectNetworkPolicy personalizada:
kubectl --kubeconfig GLOBAL_API_SERVER apply -f - <<EOF
apiVersion: networking.global.gdc.goog/v1
kind: ProjectNetworkPolicy
metadata:
namespace: PROJECT
name: allow-inbound-traffic-from-external
spec:
policyType: Ingress
subject:
subjectType: UserWorkload
ingress:
- from:
- ipBlock:
cidr: CIDR
EOF
Haz los cambios siguientes:
GLOBAL_API_SERVER: la ruta de kubeconfig del servidor de la API global. Para obtener más información, consulta Servidores de APIs globales y zonales. Si aún no has generado un archivo kubeconfig para el servidor de la API, consulta Iniciar sesión para obtener más información.PROJECT: el nombre del proyecto de GDC.CIDR: el bloque CIDR de otra organización.
Esta política es obligatoria, ya que el balanceador de carga externo usa la función de retorno directo del servidor (DSR), que conserva la dirección IP externa de origen y evita el balanceador de carga en la ruta de retorno.
Crear una regla de cortafuegos de salida global para el tráfico externo a la organización
Para transferir datos a servicios externos a la organización, primero debes inhabilitar la protección contra la filtración externa de datos. Después, debes configurar una regla de cortafuegos de salida para permitir el tráfico saliente de las cargas de trabajo o los servicios de tu proyecto.
En esta sección se describe el proceso para habilitar el tráfico saliente a nivel de proyecto. Para obtener información sobre cómo gestionar la conectividad de salida a nivel de carga de trabajo, consulta Gestionar el tráfico saliente de las cargas de trabajo.
Esta regla de cortafuegos de salida global se aplica a todas las zonas de tu organización.
Sigue estos pasos para crear una regla de cortafuegos y permitir el tráfico saliente de las cargas de trabajo o los servicios de un proyecto a las cargas de trabajo de otra organización:
Consola
- En la consola de GDC del proyecto que estés configurando, ve a Redes > Firewall en el menú de navegación para abrir la página Firewall.
- Haga clic en Crear en la barra de acciones para empezar a crear una regla de cortafuegos.
En la página Detalles de regla de cortafuegos, rellena la siguiente información:
- En el campo Nombre, introduce un nombre válido para la regla de cortafuegos.
- En la sección Dirección del tráfico, selecciona Salida para indicar que esta regla de cortafuegos controla el tráfico saliente.
- En la sección Objetivo, seleccione una de las siguientes opciones:
- Todas las cargas de trabajo del usuario: permite las conexiones de las cargas de trabajo del proyecto que estés configurando.
- Servicio: indica que esta regla de cortafuegos está dirigida a un servicio específico del proyecto que estás configurando.
- Si tu objetivo es un servicio de proyecto, selecciona el nombre del servicio en la lista de servicios disponibles del menú desplegable Servicio.
- En la sección Para, selecciona Fuera de la organización e introduce el bloque CIDR de otra organización en el campo CIDR para permitir las conexiones a la red de esa organización.
- Si tu objetivo son todas las cargas de trabajo de los usuarios, selecciona una de las siguientes opciones en la sección Protocolos y puertos:
- Permitir todo: permite las conexiones mediante cualquier protocolo o puerto.
- Protocolos y puertos especificados: permite las conexiones solo con los protocolos y puertos que especifiques en los campos correspondientes de la regla de cortafuegos de salida.
En la página Detalles de la regla de cortafuegos, haz clic en Crear.
Ahora has permitido las conexiones a otra organización. Una vez creada la regla de cortafuegos, se mostrará en una tabla de la página Cortafuegos.
API
Para habilitar el tráfico saliente a servicios ajenos a la organización, personaliza el recurso ProjectNetworkPolicy. Sin embargo, como la prevención de filtraciones externas de datos está habilitada de forma predeterminada, tu política de salida ProjectNetworkPolicy personalizada muestra un error de validación en el campo de estado y el plano de datos la ignora. Este comportamiento es el esperado.
Puedes transferir cargas de trabajo de un proyecto determinado cuando permitas la exfiltración de datos de ese proyecto. El tráfico saliente que permites es una traducción de dirección de red (NAT) de origen que usa una dirección IP conocida asignada al proyecto.
Para habilitar tu política de salida personalizada, sigue estos pasos:
Configura y aplica tu propia política de salida de
ProjectNetworkPolicypersonalizada en todas las cargas de trabajo de los usuarios de un proyecto.Usa el siguiente ejemplo:
kubectl --kubeconfig GLOBAL_API_SERVER apply -f - <<EOF apiVersion: networking.global.gdc.goog/v1 kind: ProjectNetworkPolicy metadata: namespace: PROJECT name: allow-outbound-traffic-to-external spec: subject: subjectType: UserWorkload egress: - to: - ipBlock: cidr: CIDR EOFLa política permite el tráfico saliente a todos los hosts del bloque CIDR, que se encuentran fuera de la organización. En tu primer intento, debe producirse un error de estado intencionado y necesario.
Confirma que aparece un error de validación en el estado.
Pide al administrador de gestión de identidades y accesos de la organización que inhabilite la prevención de la exfiltración de datos. Esta acción habilita tu configuración y, al mismo tiempo, impide todo el tráfico saliente.
Comprueba el
ProjectNetworkPolicyque has creado y verifica que el error del campo de estado de validación ha desaparecido y que el estadoReadyesTrue, lo que indica que tu política está activa:kubectl --kubeconfig GLOBAL_API_SERVER \ get projectnetworkpolicy allow-outbound-traffic-to-external \ -n PROJECT -o yamlHaz los cambios siguientes:
GLOBAL_API_SERVER: la ruta kubeconfig del servidor de la API global. Para obtener más información, consulta Servidores de APIs globales y zonales. Si aún no has generado un archivo kubeconfig para el servidor de la API, consulta Iniciar sesión para obtener más información.PROJECT: el nombre del proyecto de GDC.
Una vez que hayas aplicado esta política, y siempre que no hayas definido otras políticas de salida, se denegará todo el tráfico saliente de PROJECT.