En esta página, se proporciona una descripción general de las políticas de red del proyecto en el dispositivo aislado de Google Distributed Cloud (GDC).
Las políticas de red del proyecto definen reglas de entrada o salida. A diferencia de las políticas de red de Kubernetes, solo puedes especificar un tipo de política para una política.
Para el tráfico dentro de un proyecto, GDC aplica una política de red predefinida del proyecto, la política intraproyecto, a cada proyecto de forma predeterminada.
De forma predeterminada, los servicios y las cargas de trabajo de un proyecto están aislados de los servicios y las cargas de trabajo externos. Sin embargo, los servicios y las cargas de trabajo de diferentes espacios de nombres de proyectos pueden comunicarse entre sí aplicando políticas de red de tráfico entre proyectos.
Las reglas de firewall de entrada y salida son los componentes principales de las políticas de red del proyecto y determinan qué tipos de tráfico se permiten dentro y fuera de tu red. Para configurar reglas de firewall para el espacio de nombres de tu proyecto en GDC, usa la consola de GDC.
Seguridad y conectividad
De forma predeterminada, los servicios y las cargas de trabajo de un proyecto se aíslan dentro de ese proyecto. No pueden comunicarse con servicios y cargas de trabajo externos sin configurar una política de red.
Para establecer una política de red para el espacio de nombres de tu proyecto en GDC, usa el recurso ProjectNetworkPolicy. Este recurso te permite definir políticas que permiten la comunicación dentro de los proyectos, entre proyectos, a direcciones IP externas y desde direcciones IP externas. Además, solo puedes transferir cargas de trabajo fuera de un proyecto si inhabilitas la protección robo de datos para el proyecto.
Las políticas de red del proyecto de GDC son acumulativas. La aplicación resultante para una carga de trabajo es una coincidencia de cualquier tipo para el flujo de tráfico en comparación con la unión de todas las políticas aplicadas a esa carga de trabajo. Cuando hay varias políticas, las reglas de cada política se combinan de forma aditiva, lo que permite el tráfico si coincide con al menos una de las reglas.
Además, después de aplicar una sola política, se deniega todo el tráfico que no especifiques. Por lo tanto, cuando aplicas una o más políticas que seleccionan una carga de trabajo como sujeto, solo se permite el tráfico que especifica una política.
Cuando usas una dirección IP conocida que asignas al proyecto, se realiza una traducción de direcciones de red (NAT) de origen en el tráfico saliente de la organización.
Políticas de red a nivel de la carga de trabajo
Puedes crear políticas de red a nivel de la carga de trabajo para definir un control de acceso detallado para las VMs y los Pods individuales dentro de un proyecto. Estas políticas actúan como firewalls para tus cargas de trabajo, ya que controlan el flujo de tráfico según las etiquetas para mejorar la seguridad y aislar las aplicaciones. Esta granularidad permite un control más estricto sobre qué cargas de trabajo pueden comunicarse entre sí dentro de los proyectos y entre ellos.
Prepara roles y acceso predefinidos
Para configurar políticas de red del proyecto, debes tener los roles de identidad y acceso necesarios:
- Administrador de NetworkPolicy del proyecto: Administra las políticas de red del proyecto en el espacio de nombres del proyecto. Pídele al administrador de IAM de la organización que te otorgue el rol de clúster de administrador de NetworkPolicy del proyecto (
project-networkpolicy-admin).
¿Qué sigue?
- Crea políticas de red de tráfico dentro del proyecto
- Crea políticas de red de tráfico entre proyectos