网络概览

Google Distributed Cloud (GDC) 气隙设备上的虚拟网络层负责管理在 GDC 组织中运行的虚拟机和 Pod 之间的连接、防火墙、服务发现、负载均衡和可观测性。

GDC 网络模型

GDC 包含一个级别的租户：项目。

项目联网

您将所有虚拟机 (VM) 和容器化工作负载部署到项目中。项目在组织内提供网络分段边界。

一个项目中的工作负载可以直接相互通信。不过，默认网络政策会阻止不同项目中的工作负载进行通信。如果项目网络政策允许，组织中的工作负载就可以使用各自的 IP 地址在 L3 网络层相互访问。您必须为需要入站或出站流量的每个工作负载明确启用组织的出入站流量限制。

配置负载平衡器

负载平衡器可在应用的后端工作负载之间分配流量，从而确保稳定性和可用性。为 Pod 和虚拟机工作负载创建外部和内部负载平衡器。GDC 提供了三种配置负载平衡器的方法。如需了解详情，请参阅管理负载平衡器。

入站限制

用于在组织外部公开工作负载的机制因工作负载是基于虚拟机还是容器而异。

您可以使用虚拟机外部访问功能将基于虚拟机的组织外部工作负载公开。您可以为每个虚拟机启用此功能。每个虚拟机都会从组织的外部范围内获取自己的 IP 地址。

另一方面，您可以使用外部负载均衡器功能将容器化工作负载公开给组织外部。您可以创建外部负载均衡器，然后 GDC 会分配一个外部 IP 地址。然后，流量可以在一组后端 pod 工作负载之间进行负载均衡。

出站限制

您必须明确为每个项目和工作负载启用出站流量，才能与组织外部进行通信。启用出站流量后，工作负载在连接到组织外部时，会使用网络地址转换 (NAT) 将 IP 地址更改为外部 IP 地址。如需详细了解如何允许出站流量，请参阅管理组织的出站流量。

网络政策实施模型

组织内工作负载的安全态势是默认项目网络政策和用户创建的项目网络政策的并集。

政策执行基于第 3 层和第 4 层流量。一个流描述了一个 5 元组连接，如下所示：

• 来源 IP 地址
• 目标 IP 地址
• 来源端口
• 目标端口
• 协议，例如 TCP 或 UDP

网络政策会在托管源工作负载的节点上对出站流量执行流量强制实施，并在流量到达托管目标工作负载的节点时对入站流量执行流量强制实施。因此，若要建立连接，您必须允许政策从来源离开前往目的地，并从来源到达目的地。

回复流量（例如回复 SYN 段的 SYN-ACK [同步-确认] 段）不受强制执行的约束。因此，如果允许初始流量，则始终允许回复流量。因此，您只会看到因政策强制执行而导致的连接超时，而该政策强制执行是从发起连接的客户端开始的。被拒绝的流量会在从源节点出站的数据传输期间或在目标节点入站的数据传输期间被舍弃。接收工作负载从未观察到连接。

强制执行基于允许型政策规则，这些规则是附加的。工作负载的最终强制执行结果是，流量流与应用于该工作负载的所有政策的并集之间存在“任意匹配”。如果存在多项政策，则应用于每个工作负载的规则会以累加方式组合，只要流量与至少一条规则匹配，就会被允许通过。您没有 deny 规则，只有 allow 规则。

当网络政策拒绝某个流时，您不会收到响应数据包，并且会观察到连接超时。 因此，任何被拒绝或重置的协议级连接或 HTTP 错误都不是网络强制执行的直接结果。

如需详细了解 Kubernetes 网络政策，请参阅 https://kubernetes.io/docs/concepts/services-networking/network-policies/#the-two-sorts-of-pod-isolation。