Questa pagina fornisce una panoramica dei criteri di rete del progetto in Google Distributed Cloud (GDC) con air gap.
I criteri di rete del progetto definiscono regole in entrata o in uscita. A differenza dei criteri di rete Kubernetes, puoi specificare un solo tipo di criterio per un criterio.
Per il traffico all'interno di un progetto, GDC applica a ogni progetto per impostazione predefinita un criterio di rete del progetto predefinito, ovvero il criterio intra-progetto.
Per impostazione predefinita, i servizi e i workload di un progetto sono isolati da servizi e workload esterni. Tuttavia, i servizi e i carichi di lavoro di spazi dei nomi di progetti diversi e all'interno della stessa organizzazione possono comunicare tra loro applicando criteri di rete per il traffico tra progetti.
Allo stesso modo, la connessione di servizi e carichi di lavoro a una destinazione al di fuori del progetto in un'altra organizzazione richiede un'approvazione esplicita. Devi disattivare la protezione dall'esfiltrazione di dati per consentire il traffico tra organizzazioni.
Le regole firewall in entrata e in uscita sono i componenti principali dei criteri di rete del progetto e determinano i tipi di traffico consentiti in entrata e in uscita dalla rete. Per impostare le regole firewall per lo spazio dei nomi del progetto in GDC, utilizza la console GDC.
Sicurezza e connettività
Per impostazione predefinita, i servizi e i carichi di lavoro di un progetto sono isolati all'interno di quel progetto. Non possono comunicare con servizi e workload esterni senza configurare un criterio di rete.
Per impostare una policy di rete per lo spazio dei nomi del progetto in GDC, utilizza la risorsa ProjectNetworkPolicy. Questa risorsa
ti consente di definire criteri che consentono la comunicazione all'interno dei progetti, tra progetti, con indirizzi IP esterni e da indirizzi IP esterni. Inoltre, puoi trasferire i carichi di lavoro da un progetto solo se disattivi la protezione dall'esfiltrazione di dati per il progetto.
I criteri di rete del progetto GDC sono cumulativi. L'applicazione risultante per un workload è una corrispondenza qualsiasi per il flusso di traffico rispetto all'unione di tutte le norme applicate a quel workload. Quando sono presenti più policy, le regole di ciascuna vengono combinate in modo additivo, consentendo il traffico se corrisponde ad almeno una delle regole.
Inoltre, dopo aver applicato una singola policy, tutto il traffico che non specifichi viene rifiutato. Pertanto, quando applichi uno o più criteri che selezionano un carico di lavoro come soggetto, è consentito solo il traffico specificato da un criterio.
Quando utilizzi un indirizzo IP noto che hai allocato per il progetto, viene eseguita una Network Address Translatione di origine (NAT) sul traffico in uscita dall'organizzazione.
Policy di rete del progetto globali
Puoi creare policy di rete del progetto globali. L'ambito delle policy di rete del progetto globale si estende a un universo GDC. Ogni universo GDC può essere costituito da più zone GDC organizzate in regioni interconnesse e che condividono un control plane. Ad esempio, un universo composto da due regioni con tre zone ciascuna potrebbe avere il seguente aspetto: us-virginia1-a, us-virginia1-b, us-virginia1-c e eu-ams1-a, eu-ams1-b, eu-ams1-c.
L'ambito dei criteri di rete del progetto zonale è limitato alle zone specificate al momento della creazione. Ogni zona è un dominio di ripristino di emergenza indipendente. Una zona gestisce infrastruttura, servizi, API e strumenti che utilizzano un control plane locale.
Per saperne di più sulle risorse globali in un universo GDC, vedi Panoramica multizona.
Puoi creare criteri di rete del progetto globali utilizzando l'API Networking Kubernetes Resource Model (KRM). Utilizza la versione dell'API networking.global.gdc.goog per creare risorse globali.
Puoi creare policy di rete del progetto zonali utilizzando l'API KRM o la console GDC. Utilizza la versione dell'API networking.gdc.goog per creare risorse a livello di zona.
Criteri di rete a livello di workload
Puoi creare policy di rete a livello di workload per definire controllo dell'accesso granulare per singoli pod e VM all'interno di un progetto. Questi criteri fungono da firewall per i tuoi carichi di lavoro, controllando il flusso di traffico in base alle etichette per migliorare la sicurezza e isolare le applicazioni. Questa granularità consente un controllo più rigoroso su quali carichi di lavoro possono comunicare tra loro all'interno e tra i progetti.
I criteri di rete a livello di workload forniscono anche la possibilità di applicare PNP lungo una singola zona.
Per saperne di più, consulta Creare criteri di rete a livello di workload.
Preparare ruoli e accesso predefiniti
Per configurare i criteri di rete del progetto, devi disporre dei ruoli di identità e accesso necessari:
- Amministratore NetworkPolicy progetto: gestisce le policy di rete del progetto nello spazio dei nomi del progetto. Chiedi all'amministratore IAM dell'organizzazione di concederti il ruolo del cluster Project NetworkPolicy Admin (
project-networkpolicy-admin). - Amministratore PNP globale: dispone delle autorizzazioni di scrittura su tutte le risorse PNP multizona nello spazio dei nomi del progetto globale. Chiedi all'amministratore IAM dell'organizzazione di concederti il ruolo Amministratore PNP globale (
global-project-networkpolicy-admin). Per ulteriori informazioni, consulta Descrizioni dei ruoli predefiniti.
Passaggi successivi
- Creare criteri di rete per il traffico intra-progetto
- Crea criteri di rete per il traffico tra progetti
- Crea criteri di rete a livello di workload
- Creare policy di rete per il traffico tra organizzazioni
- Crea criteri di rete del progetto per i servizi gestiti