Visão geral

Esta página oferece uma visão geral das políticas de rede do projeto no Google Distributed Cloud (GDC) com isolamento físico.

As políticas de rede do projeto definem regras de entrada ou saída. Ao contrário das políticas de rede do Kubernetes, só é possível especificar um tipo de política por política.

Para o tráfego em um projeto, o GDC aplica uma política de rede predefinida, a política intraprojeto, a cada projeto por padrão.

Por padrão, os serviços e as cargas de trabalho em um projeto são isolados de serviços e cargas de trabalho externos. No entanto, serviços e cargas de trabalho de namespaces de projetos diferentes e dentro da mesma organização podem se comunicar entre si aplicando políticas de rede de tráfego entre projetos.

Da mesma forma, conectar serviços e cargas de trabalho a um destino fora do projeto em outra organização exige aprovação explícita. É necessário desativar a proteção contra exfiltração de dados para permitir o tráfego entre organizações.

As regras de firewall de entrada e saída são os principais componentes das políticas de rede do projeto e determinam quais tipos de tráfego são permitidos dentro e fora da sua rede. Para definir regras de firewall para o namespace do projeto no GDC, use o console do GDC.

Segurança e conectividade

Por padrão, os serviços e as cargas de trabalho em um projeto são isolados dentro dele. Eles não podem se comunicar com serviços e cargas de trabalho externos sem configurar uma política de rede.

Para definir uma política de rede para o namespace do projeto no GDC, use o recurso ProjectNetworkPolicy. Com esse recurso, é possível definir políticas que permitem a comunicação dentro de projetos, entre projetos, com endereços IP externo e de endereços IP externo. Além disso, só é possível transferir cargas de trabalho de um projeto se você desativar a proteção contra exfiltração de dados para o projeto.

As políticas de rede do projeto do GDC são cumulativas. A aplicação resultante para uma carga de trabalho é uma correspondência any para o fluxo de tráfego em relação à união de todas as políticas aplicadas a essa carga de trabalho. Quando há várias políticas, as regras de cada uma são combinadas de forma aditiva, permitindo o tráfego se ele corresponder a pelo menos uma das regras.

Além disso, depois de aplicar uma única política, todo o tráfego não especificado será negado. Portanto, quando você aplica uma ou mais políticas que selecionam uma carga de trabalho como assunto, apenas o tráfego especificado por uma política é permitido.

Quando você usa um endereço IP conhecido alocado para o projeto, ele realiza uma conversão de endereços de rede de origem (NAT) no tráfego de saída da organização.

Políticas de rede globais do projeto

É possível criar políticas de rede globais do projeto. O escopo das políticas de rede global do projeto abrange um universo do GDC. Cada universo do GDC pode consistir em várias zonas do GDC organizadas em regiões interconectadas e que compartilham um plano de controle. Por exemplo, um universo com duas regiões e três zonas cada pode ser assim: us-virginia1-a, us-virginia1-b, us-virginia1-c e eu-ams1-a, eu-ams1-b, eu-ams1-c.

O escopo das políticas de rede do projeto zonal é limitado às zonas especificadas no momento da criação. Cada zona é um domínio de desastre independente. Uma zona gerencia infraestrutura, serviços, APIs e ferramentas que usam um plano de controle local.

Para mais informações sobre recursos globais em um universo do GDC, consulte Visão geral de várias zonas.

É possível criar políticas de rede globais do projeto usando a API Networking Kubernetes Resource Model (KRM). Use a versão da API networking.global.gdc.goog para criar recursos globais.

É possível criar políticas de rede zonais do projeto usando a API KRM ou o console do GDC. Use a versão da API networking.gdc.goog para criar recursos zonais.

Políticas de rede no nível da carga de trabalho

É possível criar políticas de rede no nível da carga de trabalho para definir o controle de acesso refinado para VMs e pods individuais em um projeto. Essas políticas funcionam como firewalls para suas cargas de trabalho, controlando o fluxo de tráfego com base em rótulos para aumentar a segurança e isolar aplicativos. Essa granularidade permite um controle mais rígido sobre quais cargas de trabalho podem se comunicar entre si dentro e entre projetos.

As políticas de rede no nível da carga de trabalho também oferecem a capacidade de aplicar PNP em uma única zona.

Para mais informações, consulte Criar políticas de rede no nível da carga de trabalho.

Preparar papéis e acesso predefinidos

Para configurar políticas de rede do projeto, você precisa ter os papéis de identidade e acesso necessários:

  • Administrador de NetworkPolicy do projeto: gerencia políticas de rede do projeto no namespace do projeto. Peça ao administrador de IAM da organização para conceder a você a função de administrador do NetworkPolicy do projeto (project-networkpolicy-admin) no cluster.
  • Administrador global do PNP: tem permissões de gravação em todos os recursos do PNP multizona no namespace do projeto global. Peça ao administrador do IAM da organização para conceder a você o papel de administrador global do PNP (global-project-networkpolicy-admin). Para mais informações, consulte Descrições de papéis predefinidos.

A seguir