Aperçu

Cette page présente les règles de réseau de projet dans Google Distributed Cloud (GDC) air-gapped.

Les règles de réseau du projet définissent des règles d'entrée ou de sortie. Contrairement aux règles de réseau Kubernetes, vous ne pouvez spécifier qu'un seul type de règle par stratégie.

Pour le trafic au sein d'un projet, GDC applique par défaut une stratégie de réseau de projet prédéfinie, la stratégie intra-projet, à chaque projet.

Par défaut, les services et les charges de travail d'un projet sont isolés des services et charges de travail externes. Toutefois, les services et les charges de travail provenant de différents espaces de noms de projet et appartenant à la même organisation peuvent communiquer entre eux en appliquant des règles de réseau de trafic inter-projets.

De même, la connexion de services et de charges de travail à une destination en dehors de votre projet dans une autre organisation nécessite une approbation explicite. Vous devez désactiver la protection contre l'exfiltration de données pour autoriser le trafic entre organisations.

Les règles de pare-feu d'Ingress et de sortie sont les principaux composants des règles réseau du projet. Elles déterminent les types de trafic autorisés à entrer dans votre réseau et à en sortir. Pour définir des règles de pare-feu pour l'espace de noms de votre projet dans GDC, utilisez la console GDC.

Sécurité et connectivité

Par défaut, les services et les charges de travail d'un projet sont isolés dans ce projet. Ils ne peuvent pas communiquer avec des services et des charges de travail externes sans configurer de règle de réseau.

Pour définir une règle de réseau pour l'espace de noms de votre projet dans GDC, utilisez la ressource ProjectNetworkPolicy. Cette ressource vous permet de définir des règles qui autorisent la communication au sein des projets, entre les projets, vers des adresses IP externes et depuis des adresses IP externes. De plus, vous ne pouvez transférer des charges de travail hors d'un projet que si vous désactivez la protection contre l'exfiltration de données pour le projet.

Les règles de réseau des projets GDC sont cumulatives. L'application résultante pour une charge de travail correspond à une correspondance any pour le flux de trafic par rapport à l'union de toutes les règles appliquées à cette charge de travail. Lorsque plusieurs règles sont présentes, les règles de chaque stratégie sont combinées de manière additive, ce qui autorise le trafic s'il correspond à au moins l'une des règles.

De plus, une fois que vous avez appliqué une règle, tout le trafic que vous ne spécifiez pas est refusé. Par conséquent, lorsque vous appliquez une ou plusieurs règles qui sélectionnent une charge de travail comme sujet, seul le trafic spécifié par une règle est autorisé.

Lorsque vous utilisez une adresse IP connue que vous allouez au projet, une traduction d'adresse réseau source (NAT) est effectuée sur le trafic sortant de l'organisation.

Stratégies de réseau de projet mondiales

Vous pouvez créer des règles de réseau de projet au niveau mondial. Le champ d'application des stratégies de réseau de projet au niveau mondial s'étend à un univers GDC. Chaque univers GDC peut être constitué de plusieurs zones GDC organisées en régions interconnectées et partageant un plan de contrôle. Par exemple, un univers composé de deux régions avec trois zones chacune peut se présenter comme suit : us-virginia1-a, us-virginia1-b, us-virginia1-c et eu-ams1-a, eu-ams1-b, eu-ams1-c.

La portée des stratégies de réseau de projet zonales est limitée aux zones spécifiées au moment de la création. Chaque zone est un domaine de reprise après sinistre indépendant. Une zone gère l'infrastructure, les services, les API et les outils qui utilisent un plan de contrôle local.

Pour en savoir plus sur les ressources globales dans un univers GDC, consultez Présentation des multizones.

Vous pouvez créer des règles de réseau de projet globales à l'aide de l'API Networking Kubernetes Resource Model (KRM). Utilisez la version d'API networking.global.gdc.goog pour créer des ressources globales.

Vous pouvez créer des règles de réseau de projet zonal à l'aide de l'API KRM ou de la console GDC. Utilisez la version networking.gdc.goog de l'API pour créer des ressources zonales.

Règles de réseau au niveau de la charge de travail

Vous pouvez créer des règles de réseau au niveau de la charge de travail pour définir un contrôle des accès précis pour les VM et les pods individuels d'un projet. Ces règles agissent comme des pare-feu pour vos charges de travail. Elles contrôlent le flux de trafic en fonction des libellés pour améliorer la sécurité et isoler les applications. Cette précision permet de mieux contrôler les charges de travail qui peuvent communiquer entre elles, dans un même projet ou dans plusieurs projets.

Les règles de réseau au niveau de la charge de travail permettent également d'appliquer le PNP dans une seule zone.

Pour en savoir plus, consultez Créer des règles de réseau au niveau de la charge de travail.

Préparer les rôles et les accès prédéfinis

Pour configurer des règles de réseau de projet, vous devez disposer des rôles Identity and Access Management (IAM) nécessaires :

  • Administrateur NetworkPolicy de projet : gère les règles de réseau du projet dans l'espace de noms du projet. Demandez à votre administrateur IAM de l'organisation de vous accorder le rôle de cluster Administrateur NetworkPolicy du projet (project-networkpolicy-admin).
  • Administrateur PNP mondial : dispose d'autorisations d'écriture sur toutes les ressources PNP multizones dans l'espace de noms du projet mondial. Demandez à votre administrateur IAM de l'organisation de vous attribuer le rôle Administrateur PNP global (global-project-networkpolicy-admin). Pour en savoir plus, consultez Descriptions des rôles prédéfinis.

Étapes suivantes