Descripción general

En esta página, se proporciona una descripción general de las políticas de red del proyecto en Google Distributed Cloud (GDC) aislado.

Las políticas de red del proyecto definen reglas de entrada o salida. A diferencia de las políticas de red de Kubernetes, solo puedes especificar un tipo de política para una política.

Para el tráfico dentro de un proyecto, GDC aplica una política de red predefinida del proyecto, la política intraproyecto, a cada proyecto de forma predeterminada.

De forma predeterminada, los servicios y las cargas de trabajo de un proyecto están aislados de los servicios y las cargas de trabajo externos. Sin embargo, los servicios y las cargas de trabajo de diferentes espacios de nombres del proyecto y dentro de la misma organización pueden comunicarse entre sí aplicando políticas de red de tráfico entre proyectos.

Del mismo modo, conectar servicios y cargas de trabajo a un destino fuera de tu proyecto en una organización diferente requiere aprobación explícita. Debes inhabilitar la protección robo de datos para permitir el tráfico entre organizaciones.

Las reglas de firewall de entrada y salida son los componentes principales de las políticas de red del proyecto y determinan qué tipos de tráfico se permiten dentro y fuera de tu red. Para configurar reglas de firewall para el espacio de nombres de tu proyecto en GDC, usa la consola de GDC.

Seguridad y conectividad

De forma predeterminada, los servicios y las cargas de trabajo de un proyecto se aíslan dentro de ese proyecto. No pueden comunicarse con servicios y cargas de trabajo externos sin configurar una política de red.

Para establecer una política de red para el espacio de nombres de tu proyecto en GDC, usa el recurso ProjectNetworkPolicy. Este recurso te permite definir políticas que permiten la comunicación dentro de los proyectos, entre proyectos, a direcciones IP externas y desde direcciones IP externas. Además, solo puedes transferir cargas de trabajo fuera de un proyecto si inhabilitas la protección robo de datos para el proyecto.

Las políticas de red del proyecto de GDC son acumulativas. La aplicación resultante para una carga de trabajo es una coincidencia de cualquier tipo para el flujo de tráfico en comparación con la unión de todas las políticas aplicadas a esa carga de trabajo. Cuando hay varias políticas, las reglas de cada política se combinan de forma aditiva, lo que permite el tráfico si coincide con al menos una de las reglas.

Además, después de aplicar una sola política, se deniega todo el tráfico que no especifiques. Por lo tanto, cuando aplicas una o más políticas que seleccionan una carga de trabajo como sujeto, solo se permite el tráfico que especifica una política.

Cuando usas una dirección IP conocida que asignas al proyecto, se realiza una traducción de direcciones de red (NAT) de origen en el tráfico saliente de la organización.

Políticas de red globales del proyecto

Puedes crear políticas de red globales para el proyecto. El alcance de las políticas de red globales del proyecto abarca un universo de GDC. Cada universo de GDC puede constar de varias zonas de GDC organizadas en regiones interconectadas que comparten un plano de control. Por ejemplo, un universo que consta de dos regiones con tres zonas cada una podría verse de la siguiente manera: us-virginia1-a, us-virginia1-b, us-virginia1-c y eu-ams1-a, eu-ams1-b, eu-ams1-c.

El alcance de las políticas de red del proyecto zonales se limita a las zonas especificadas en el momento de la creación. Cada zona es un dominio de desastre independiente. Una zona administra la infraestructura, los servicios, las APIs y las herramientas que usan un plano de control local.

Para obtener más información sobre los recursos globales en un universo de GDC, consulta la descripción general de varias zonas.

Puedes crear políticas de red globales del proyecto con la API del modelo de recursos de Kubernetes (KRM) de redes. Usa la versión de API networking.global.gdc.goog para crear recursos globales.

Puedes crear políticas de red zonales del proyecto con la API de KRM o la consola de GDC. Usa la versión de la API networking.gdc.goog para crear recursos zonales.

Políticas de red a nivel de la carga de trabajo

Puedes crear políticas de red a nivel de la carga de trabajo para definir un control de acceso detallado para las VMs y los Pods individuales dentro de un proyecto. Estas políticas actúan como firewalls para tus cargas de trabajo, ya que controlan el flujo de tráfico según las etiquetas para mejorar la seguridad y aislar las aplicaciones. Esta granularidad permite un control más estricto sobre qué cargas de trabajo pueden comunicarse entre sí dentro de los proyectos y entre ellos.

Las políticas de red a nivel de la carga de trabajo también brindan la capacidad de aplicar PNP a lo largo de una sola zona.

Para obtener más información, consulta Crea políticas de red a nivel de la carga de trabajo.

Prepara roles y acceso predefinidos

Para configurar políticas de red del proyecto, debes tener los roles de identidad y acceso necesarios:

  • Administrador de NetworkPolicy del proyecto: Administra las políticas de red del proyecto en el espacio de nombres del proyecto. Pídele al administrador de IAM de la organización que te otorgue el rol de clúster de administrador de NetworkPolicy del proyecto (project-networkpolicy-admin).
  • Administrador global de PNP: Tiene permisos de escritura en todos los recursos de PNP multizona en el espacio de nombres del proyecto global. Pídele al administrador de IAM de tu organización que te otorgue el rol de administrador global de PNP (global-project-networkpolicy-admin). Para obtener más información, consulta Descripciones de roles predefinidos.

¿Qué sigue?