Halaman ini memberikan ringkasan kebijakan jaringan project di perangkat Google Distributed Cloud (GDC) dengan air gap.
Kebijakan jaringan project menentukan aturan masuk atau keluar. Tidak seperti kebijakan jaringan Kubernetes, Anda hanya dapat menentukan satu jenis kebijakan untuk suatu kebijakan.
Untuk traffic dalam project, GDC menerapkan kebijakan jaringan project yang telah ditentukan sebelumnya, yaitu kebijakan intra-project, ke setiap project secara default.
Layanan dan workload dalam project diisolasi dari layanan dan workload eksternal secara default. Namun, layanan dan beban kerja dari namespace project yang berbeda dapat saling berkomunikasi dengan menerapkan kebijakan jaringan traffic lintas project.
Aturan firewall masuk dan keluar adalah komponen utama kebijakan jaringan project dan menentukan jenis traffic yang diizinkan masuk dan keluar dari jaringan Anda. Untuk menetapkan aturan firewall bagi namespace project Anda di GDC, gunakan konsol GDC.
Keamanan dan konektivitas
Secara default, layanan dan workload dalam project diisolasi dalam project tersebut. Mereka tidak dapat berkomunikasi dengan layanan dan beban kerja eksternal tanpa mengonfigurasi kebijakan jaringan.
Untuk menetapkan kebijakan jaringan untuk namespace project Anda
di GDC, gunakan resource ProjectNetworkPolicy. Resource ini memungkinkan Anda menentukan kebijakan, yang mengizinkan komunikasi dalam project, antar-project, ke alamat IP eksternal, dan dari alamat IP eksternal. Selain itu, Anda hanya dapat mentransfer workload keluar dari project jika Anda menonaktifkan perlindungan pemindahan data yang tidak sah untuk project tersebut.
Kebijakan jaringan project GDC bersifat kumulatif. Penerapan yang dihasilkan untuk workload adalah kecocokan any untuk alur traffic terhadap gabungan semua kebijakan yang diterapkan ke workload tersebut. Jika ada beberapa kebijakan, aturan untuk setiap kebijakan akan digabungkan secara aditif, sehingga traffic diizinkan jika cocok dengan setidaknya salah satu aturan.
Selain itu, setelah Anda menerapkan satu kebijakan, semua traffic yang tidak Anda tentukan akan ditolak. Oleh karena itu, saat Anda menerapkan satu atau beberapa kebijakan yang memilih beban kerja sebagai subjek, hanya traffic yang ditentukan oleh kebijakan yang diizinkan.
Saat Anda menggunakan alamat IP terkenal yang dialokasikan untuk project, alamat IP tersebut akan melakukan terjemahan alamat jaringan (NAT) sumber pada traffic keluar dari organisasi.
Kebijakan jaringan tingkat beban kerja
Anda dapat membuat kebijakan jaringan tingkat workload untuk menentukan kontrol akses terperinci bagi setiap VM dan pod dalam project. Kebijakan ini berfungsi seperti firewall untuk beban kerja Anda, mengontrol alur traffic berdasarkan label untuk meningkatkan keamanan dan mengisolasi aplikasi. Perincian ini memungkinkan kontrol yang lebih ketat atas beban kerja mana yang dapat berkomunikasi satu sama lain dalam dan di seluruh project.
Menyiapkan peran dan akses bawaan
Untuk mengonfigurasi kebijakan jaringan project, Anda harus memiliki peran identitas dan akses yang diperlukan:
- Admin NetworkPolicy Project: mengelola kebijakan jaringan project di namespace project. Minta Admin IAM Organisasi Anda untuk memberi Anda peran cluster Project NetworkPolicy Admin (
project-networkpolicy-admin).