Ringkasan

Halaman ini memberikan ringkasan kebijakan jaringan project di Google Distributed Cloud (GDC) dengan air gap.

Kebijakan jaringan project menentukan aturan masuk atau keluar. Tidak seperti kebijakan jaringan Kubernetes, Anda hanya dapat menentukan satu jenis kebijakan untuk suatu kebijakan.

Untuk traffic dalam project, GDC menerapkan kebijakan jaringan project yang telah ditentukan sebelumnya, yaitu kebijakan intra-project, ke setiap project secara default.

Layanan dan workload dalam project diisolasi dari layanan dan workload eksternal secara default. Namun, layanan dan workload dari namespace project yang berbeda dan dalam organisasi yang sama dapat saling berkomunikasi dengan menerapkan kebijakan jaringan traffic lintas project.

Demikian pula, menghubungkan layanan dan workload ke tujuan di luar project Anda dalam organisasi yang berbeda memerlukan persetujuan eksplisit. Anda harus menonaktifkan perlindungan pemindahan data yang tidak sah untuk mengizinkan traffic lintas organisasi.

Aturan firewall masuk dan keluar adalah komponen utama kebijakan jaringan project dan menentukan jenis traffic yang diizinkan masuk dan keluar dari jaringan Anda. Untuk menetapkan aturan firewall bagi namespace project Anda di GDC, gunakan konsol GDC.

Keamanan dan konektivitas

Secara default, layanan dan workload dalam project diisolasi dalam project tersebut. Mereka tidak dapat berkomunikasi dengan layanan dan beban kerja eksternal tanpa mengonfigurasi kebijakan jaringan.

Untuk menetapkan kebijakan jaringan untuk namespace project Anda di GDC, gunakan resource ProjectNetworkPolicy. Resource ini memungkinkan Anda menentukan kebijakan, yang mengizinkan komunikasi dalam project, antar-project, ke alamat IP eksternal, dan dari alamat IP eksternal. Selain itu, Anda hanya dapat mentransfer workload keluar dari project jika Anda menonaktifkan perlindungan pemindahan data yang tidak sah untuk project tersebut.

Kebijakan jaringan project GDC bersifat kumulatif. Penerapan yang dihasilkan untuk workload adalah kecocokan any untuk alur traffic terhadap gabungan semua kebijakan yang diterapkan ke workload tersebut. Jika ada beberapa kebijakan, aturan untuk setiap kebijakan akan digabungkan secara aditif, sehingga traffic diizinkan jika cocok dengan setidaknya salah satu aturan.

Selain itu, setelah Anda menerapkan satu kebijakan, semua traffic yang tidak Anda tentukan akan ditolak. Oleh karena itu, saat Anda menerapkan satu atau beberapa kebijakan yang memilih beban kerja sebagai subjek, hanya traffic yang ditentukan oleh kebijakan yang diizinkan.

Saat Anda menggunakan alamat IP terkenal yang dialokasikan untuk project, alamat IP tersebut akan melakukan terjemahan alamat jaringan (NAT) sumber pada traffic keluar dari organisasi.

Kebijakan jaringan project global

Anda dapat membuat kebijakan jaringan project global. Cakupan kebijakan jaringan project global mencakup seluruh semesta GDC. Setiap semesta GDC dapat terdiri dari beberapa zona GDC yang disusun ke dalam region yang saling terhubung dan berbagi bidang kontrol. Misalnya, semesta yang terdiri dari dua region dengan masing-masing tiga zona mungkin terlihat seperti: us-virginia1-a, us-virginia1-b, us-virginia1-c dan eu-ams1-a, eu-ams1-b, eu-ams1-c.

Cakupan kebijakan jaringan project zonal terbatas pada zona yang ditentukan pada saat pembuatan. Setiap zona adalah domain bencana independen. Zona mengelola infrastruktur, layanan, API, dan alat yang menggunakan bidang kontrol lokal.

Untuk mengetahui informasi selengkapnya tentang resource global di semesta GDC, lihat Ringkasan multi-zona.

Anda dapat membuat kebijakan jaringan project global menggunakan Networking Kubernetes Resource Model (KRM) API. Gunakan versi API networking.global.gdc.goog untuk membuat resource global.

Anda dapat membuat kebijakan jaringan project zonal menggunakan KRM API atau konsol GDC. Gunakan versi API networking.gdc.goog untuk membuat resource zona.

Kebijakan jaringan tingkat beban kerja

Anda dapat membuat kebijakan jaringan tingkat workload untuk menentukan kontrol akses terperinci bagi setiap VM dan pod dalam project. Kebijakan ini berfungsi seperti firewall untuk beban kerja Anda, mengontrol alur traffic berdasarkan label untuk meningkatkan keamanan dan mengisolasi aplikasi. Perincian ini memungkinkan kontrol yang lebih ketat atas beban kerja mana yang dapat berkomunikasi satu sama lain dalam dan di seluruh project.

Kebijakan jaringan tingkat beban kerja juga memberikan kemampuan untuk menerapkan PNP di satu zona.

Untuk mengetahui informasi selengkapnya, lihat Membuat kebijakan jaringan tingkat workload.

Menyiapkan peran dan akses bawaan

Untuk mengonfigurasi kebijakan jaringan project, Anda harus memiliki peran identitas dan akses yang diperlukan:

  • Admin NetworkPolicy Project: mengelola kebijakan jaringan project di namespace project. Minta Admin IAM Organisasi Anda untuk memberi Anda peran cluster Project NetworkPolicy Admin (project-networkpolicy-admin).
  • Admin PNP Global: memiliki izin tulis pada semua resource PNP multi-zona di namespace project global. Minta Admin IAM Organisasi Anda untuk memberi Anda peran Global PNP Admin (global-project-networkpolicy-admin). Untuk mengetahui informasi selengkapnya, lihat Deskripsi peran standar.

Langkah berikutnya