Auf dieser Seite erhalten Sie einen Überblick über Projektnetzwerkrichtlinien in der Google Distributed Cloud (GDC) Air Gap-Appliance.
In Projektnetzwerkrichtlinien werden Regeln für eingehenden oder ausgehenden Traffic definiert. Im Gegensatz zu Kubernetes-Netzwerkrichtlinien können Sie für eine Richtlinie nur einen Richtlinientyp angeben.
Für Traffic innerhalb eines Projekts wendet GDC standardmäßig eine vordefinierte Projektnetzwerkrichtlinie, die Intra-Project-Richtlinie, auf jedes Projekt an.
Dienste und Arbeitslasten in einem Projekt sind standardmäßig von externen Diensten und Arbeitslasten isoliert. Dienste und Arbeitslasten aus verschiedenen Projektnamespaces können jedoch miteinander kommunizieren, indem Sie netzwerkübergreifende Netzwerkrichtlinien anwenden.
Firewallregeln für eingehenden und ausgehenden Traffic sind die Hauptkomponenten von Projektnetzwerkrichtlinien und bestimmen, welche Arten von Traffic in Ihr Netzwerk gelangen und es verlassen dürfen. Wenn Sie Firewallregeln für den Namespace Ihres Projekts in GDC festlegen möchten, verwenden Sie die GDC Console.
Sicherheit und Konnektivität
Standardmäßig sind Dienste und Arbeitslasten in einem Projekt innerhalb dieses Projekts isoliert. Ohne Konfiguration einer Netzwerkrichtlinie können sie nicht mit externen Diensten und Arbeitslasten kommunizieren.
Wenn Sie eine Netzwerkrichtlinie für Ihren Projekt-Namespace in GDC festlegen möchten, verwenden Sie die ProjectNetworkPolicy-Ressource. Mit dieser Ressource können Sie Richtlinien definieren, die die Kommunikation innerhalb von Projekten, zwischen Projekten, mit externen IP-Adressen und von externen IP-Adressen aus ermöglichen. Außerdem können Sie Arbeitslasten nur dann aus einem Projekt übertragen, wenn Sie den Schutz vor Datenexfiltration für das Projekt deaktivieren.
Netzwerkrichtlinien für GDC-Projekte sind additiv. Die resultierende Erzwingung für eine Arbeitslast ist eine beliebige Übereinstimmung für den Traffic-Fluss mit der Vereinigung aller Richtlinien, die auf diese Arbeitslast angewendet werden. Wenn mehrere Richtlinien vorhanden sind, werden die Regeln für jede Richtlinie additiv kombiniert. Traffic wird zugelassen, wenn er mindestens einer der Regeln entspricht.
Außerdem wird nach dem Anwenden einer einzelnen Richtlinie der gesamte Traffic, den Sie nicht angeben, abgelehnt. Wenn Sie also eine oder mehrere Richtlinien anwenden, in denen eine Arbeitslast als Subjekt ausgewählt ist, ist nur der Traffic zulässig, der in einer Richtlinie angegeben ist.
Wenn Sie eine bekannte IP-Adresse verwenden, die Sie für das Projekt zuweisen, wird eine Quell-NAT (Network Address Translation) für den ausgehenden Traffic der Organisation durchgeführt.
Netzwerkrichtlinien auf Arbeitslastebene
Sie können Netzwerkrichtlinien auf Arbeitslastebene erstellen, um eine detaillierte Zugriffssteuerung für einzelne VMs und Pods in einem Projekt zu definieren. Diese Richtlinien fungieren wie Firewalls für Ihre Arbeitslasten. Sie steuern den Trafficfluss basierend auf Labels, um die Sicherheit zu erhöhen und Anwendungen zu isolieren. Diese Granularität ermöglicht eine strengere Kontrolle darüber, welche Arbeitslasten innerhalb und zwischen Projekten miteinander kommunizieren können.
Vordefinierte Rollen und Zugriff vorbereiten
Zum Konfigurieren von Projektnetzwerkrichtlinien benötigen Sie die erforderlichen Identitäts- und Zugriffsrollen:
- Project NetworkPolicy Admin: Verwaltet Projektnetzwerkrichtlinien im Projekt-Namespace. Bitten Sie Ihren IAM-Administrator der Organisation, Ihnen die Clusterrolle „Project NetworkPolicy Admin“ (
project-networkpolicy-admin) zuzuweisen.
Nächste Schritte
- Netzwerkrichtlinien für Intra-Project-Traffic erstellen
- Projektübergreifende Netzwerkrichtlinien für Traffic erstellen