Übersicht

Auf dieser Seite erhalten Sie einen Überblick über Projektnetzwerkrichtlinien in Google Distributed Cloud (GDC) mit Air Gap.

In Projektnetzwerkrichtlinien werden Regeln für eingehenden oder ausgehenden Traffic definiert. Im Gegensatz zu Kubernetes-Netzwerkrichtlinien können Sie für eine Richtlinie nur einen Richtlinientyp angeben.

Für Traffic innerhalb eines Projekts wendet GDC standardmäßig eine vordefinierte Projektnetzwerkrichtlinie, die Intra-Project-Richtlinie, auf jedes Projekt an.

Dienste und Arbeitslasten in einem Projekt sind standardmäßig von externen Diensten und Arbeitslasten isoliert. Dienste und Arbeitslasten aus verschiedenen Projektnamespaces innerhalb derselben Organisation können jedoch miteinander kommunizieren, indem Sie Netzwerkrichtlinien für projektübergreifenden Traffic anwenden.

Ebenso ist für das Verbinden von Diensten und Arbeitslasten mit einem Ziel außerhalb Ihres Projekts in einer anderen Organisation eine ausdrückliche Genehmigung erforderlich. Sie müssen den Schutz vor Daten-Exfiltration deaktivieren, um organisationsübergreifenden Traffic zuzulassen.

Firewallregeln für eingehenden und ausgehenden Traffic sind die Hauptkomponenten von Projektnetzwerkrichtlinien und bestimmen, welche Arten von Traffic in Ihr Netzwerk gelangen und es verlassen dürfen. Wenn Sie Firewallregeln für den Namespace Ihres Projekts in GDC festlegen möchten, verwenden Sie die GDC Console.

Sicherheit und Konnektivität

Standardmäßig sind Dienste und Arbeitslasten in einem Projekt innerhalb dieses Projekts isoliert. Ohne Konfiguration einer Netzwerkrichtlinie können sie nicht mit externen Diensten und Arbeitslasten kommunizieren.

Wenn Sie eine Netzwerkrichtlinie für Ihren Projekt-Namespace in GDC festlegen möchten, verwenden Sie die ProjectNetworkPolicy-Ressource. Mit dieser Ressource können Sie Richtlinien definieren, die die Kommunikation innerhalb von Projekten, zwischen Projekten, mit externen IP-Adressen und von externen IP-Adressen aus ermöglichen. Außerdem können Sie Arbeitslasten nur dann aus einem Projekt übertragen, wenn Sie den Schutz vor Datenexfiltration für das Projekt deaktivieren.

Netzwerkrichtlinien für GDC-Projekte sind additiv. Die resultierende Erzwingung für eine Arbeitslast ist eine beliebige Übereinstimmung für den Traffic-Fluss mit der Vereinigung aller Richtlinien, die auf diese Arbeitslast angewendet werden. Wenn mehrere Richtlinien vorhanden sind, werden die Regeln für jede Richtlinie additiv kombiniert. Traffic wird zugelassen, wenn er mindestens einer der Regeln entspricht.

Außerdem wird nach dem Anwenden einer einzelnen Richtlinie der gesamte Traffic, den Sie nicht angeben, abgelehnt. Wenn Sie also eine oder mehrere Richtlinien anwenden, in denen eine Arbeitslast als Subjekt ausgewählt ist, ist nur der Traffic zulässig, der in einer Richtlinie angegeben ist.

Wenn Sie eine bekannte IP-Adresse verwenden, die Sie für das Projekt zuweisen, wird eine Quell-NAT (Network Address Translation) für den ausgehenden Traffic der Organisation durchgeführt.

Globale Projektnetzwerkrichtlinien

Sie können globale Projektnetzwerkrichtlinien erstellen. Der Bereich globaler Projektnetzwerkrichtlinien erstreckt sich über ein GDC-Universum. Jede GDC-Umgebung kann aus mehreren GDC-Zonen bestehen, die in Regionen organisiert sind, die miteinander verbunden sind und eine Steuerungsebene gemeinsam nutzen. Ein Universum mit zwei Regionen mit jeweils drei Zonen könnte so aussehen: us-virginia1-a, us-virginia1-b, us-virginia1-c und eu-ams1-a, eu-ams1-b, eu-ams1-c.

Der Bereich von zonenbasierten Projektnetzwerkrichtlinien ist auf die bei der Erstellung angegebenen Zonen beschränkt. Jede Zone ist eine unabhängige Katastrophendomain. In einer Zone werden Infrastruktur, Dienste, APIs und Tools verwaltet, die eine lokale Steuerungsebene verwenden.

Weitere Informationen zu globalen Ressourcen in einem GDC-Universum finden Sie unter Übersicht über mehrere Zonen.

Sie können globale Projektnetzwerkrichtlinien mit der Networking Kubernetes Resource Model (KRM) API erstellen. Verwenden Sie die API-Version networking.global.gdc.goog, um globale Ressourcen zu erstellen.

Sie können zonale Projektnetzwerkrichtlinien mit der KRM API oder der GDC-Konsole erstellen. Verwenden Sie die API-Version networking.gdc.goog, um zonale Ressourcen zu erstellen.

Netzwerkrichtlinien auf Arbeitslastebene

Sie können Netzwerkrichtlinien auf Arbeitslastebene erstellen, um eine detaillierte Zugriffssteuerung für einzelne VMs und Pods in einem Projekt zu definieren. Diese Richtlinien fungieren wie Firewalls für Ihre Arbeitslasten. Sie steuern den Trafficfluss basierend auf Labels, um die Sicherheit zu erhöhen und Anwendungen zu isolieren. Diese Granularität ermöglicht eine strengere Kontrolle darüber, welche Arbeitslasten innerhalb und zwischen Projekten miteinander kommunizieren können.

Netzwerkrichtlinien auf Arbeitslastebene bieten auch die Möglichkeit, PNP in einer einzelnen Zone zu erzwingen.

Weitere Informationen finden Sie unter Netzwerkrichtlinien auf Arbeitslast-Ebene erstellen.

Vordefinierte Rollen und Zugriff vorbereiten

Zum Konfigurieren von Projektnetzwerkrichtlinien benötigen Sie die erforderlichen Identitäts- und Zugriffsrollen:

  • Project NetworkPolicy Admin: Verwaltet Projektnetzwerkrichtlinien im Projekt-Namespace. Bitten Sie Ihren IAM-Administrator der Organisation, Ihnen die Clusterrolle „Project NetworkPolicy Admin“ (project-networkpolicy-admin) zuzuweisen.
  • Globaler PNP-Administrator: Hat Schreibberechtigungen für alle PNP-Ressourcen mit mehreren Zonen im globalen Projektnamespace. Bitten Sie Ihren IAM-Administrator der Organisation, Ihnen die Rolle „Global PNP Admin“ (global-project-networkpolicy-admin) zuzuweisen. Weitere Informationen finden Sie unter Beschreibungen vordefinierter Rollen.

Nächste Schritte