Cette page présente les règles réseau de projet dans l'appliance Google Distributed Cloud (GDC) sous air gap.
Les règles de réseau du projet définissent des règles d'entrée ou de sortie. Contrairement aux règles de réseau Kubernetes, vous ne pouvez spécifier qu'un seul type de règle par stratégie.
Pour le trafic au sein d'un projet, GDC applique par défaut une stratégie de réseau de projet prédéfinie, la stratégie intra-projet, à chaque projet.
Par défaut, les services et les charges de travail d'un projet sont isolés des services et charges de travail externes. Toutefois, les services et les charges de travail provenant de différents espaces de noms de projet peuvent communiquer entre eux en appliquant des règles de réseau de trafic multiprojets.
Les règles de pare-feu d'Ingress et de sortie sont les principaux composants des règles réseau du projet. Elles déterminent les types de trafic autorisés à entrer dans votre réseau et à en sortir. Pour définir des règles de pare-feu pour l'espace de noms de votre projet dans GDC, utilisez la console GDC.
Sécurité et connectivité
Par défaut, les services et les charges de travail d'un projet sont isolés dans ce projet. Ils ne peuvent pas communiquer avec des services et des charges de travail externes sans configurer de règle de réseau.
Pour définir une règle de réseau pour l'espace de noms de votre projet dans GDC, utilisez la ressource ProjectNetworkPolicy. Cette ressource vous permet de définir des règles qui autorisent la communication au sein des projets, entre les projets, vers des adresses IP externes et depuis des adresses IP externes. De plus, vous ne pouvez transférer des charges de travail hors d'un projet que si vous désactivez la protection contre l'exfiltration de données pour le projet.
Les règles de réseau des projets GDC sont cumulatives. L'application résultante pour une charge de travail correspond à une correspondance any pour le flux de trafic par rapport à l'union de toutes les règles appliquées à cette charge de travail. Lorsque plusieurs règles sont présentes, les règles de chaque stratégie sont combinées de manière additive, ce qui autorise le trafic s'il correspond à au moins l'une des règles.
De plus, une fois que vous avez appliqué une règle, tout le trafic que vous ne spécifiez pas est refusé. Par conséquent, lorsque vous appliquez une ou plusieurs règles qui sélectionnent une charge de travail comme sujet, seul le trafic spécifié par une règle est autorisé.
Lorsque vous utilisez une adresse IP connue que vous allouez au projet, une traduction d'adresse réseau source (NAT) est effectuée sur le trafic sortant de l'organisation.
Règles de réseau au niveau de la charge de travail
Vous pouvez créer des règles de réseau au niveau de la charge de travail pour définir un contrôle des accès précis pour les VM et les pods individuels d'un projet. Ces règles agissent comme des pare-feu pour vos charges de travail. Elles contrôlent le flux de trafic en fonction des libellés pour améliorer la sécurité et isoler les applications. Cette précision permet de mieux contrôler les charges de travail qui peuvent communiquer entre elles, dans un même projet ou dans plusieurs projets.
Préparer les rôles et les accès prédéfinis
Pour configurer des règles de réseau de projet, vous devez disposer des rôles Identity and Access Management (IAM) nécessaires :
- Administrateur NetworkPolicy de projet : gère les règles de réseau du projet dans l'espace de noms du projet. Demandez à votre administrateur IAM de l'organisation de vous accorder le rôle de cluster Administrateur NetworkPolicy du projet (
project-networkpolicy-admin).
Étapes suivantes
- Créer des règles de réseau de trafic intra-projet
- Créer des règles de réseau de trafic inter-projets