Panoramica

Questa pagina fornisce una panoramica dei criteri di rete del progetto nell'appliance con air gap di Google Distributed Cloud (GDC).

I criteri di rete del progetto definiscono regole in entrata o in uscita. A differenza dei criteri di rete Kubernetes, puoi specificare un solo tipo di criterio per un criterio.

Per il traffico all'interno di un progetto, GDC applica a ogni progetto per impostazione predefinita un criterio di rete del progetto predefinito, ovvero il criterio intra-progetto.

Per impostazione predefinita, i servizi e i workload di un progetto sono isolati da servizi e workload esterni. Tuttavia, i servizi e i carichi di lavoro di spazi dei nomi di progetti diversi possono comunicare tra loro applicando criteri di rete per il traffico tra progetti.

Le regole firewall in entrata e in uscita sono i componenti principali dei criteri di rete del progetto e determinano i tipi di traffico consentiti in entrata e in uscita dalla rete. Per impostare le regole firewall per lo spazio dei nomi del progetto in GDC, utilizza la console GDC.

Sicurezza e connettività

Per impostazione predefinita, i servizi e i carichi di lavoro di un progetto sono isolati all'interno di quel progetto. Non possono comunicare con servizi e workload esterni senza configurare un criterio di rete.

Per impostare una policy di rete per lo spazio dei nomi del progetto in GDC, utilizza la risorsa ProjectNetworkPolicy. Questa risorsa ti consente di definire criteri che consentono la comunicazione all'interno dei progetti, tra progetti, con indirizzi IP esterni e da indirizzi IP esterni. Inoltre, puoi trasferire i carichi di lavoro da un progetto solo se disattivi la protezione dall'esfiltrazione di dati per il progetto.

I criteri di rete del progetto GDC sono cumulativi. L'applicazione risultante per un workload è una corrispondenza qualsiasi per il flusso di traffico rispetto all'unione di tutte le norme applicate a quel workload. Quando sono presenti più policy, le regole di ciascuna vengono combinate in modo additivo, consentendo il traffico se corrisponde ad almeno una delle regole.

Inoltre, dopo aver applicato una singola policy, tutto il traffico che non specifichi viene rifiutato. Pertanto, quando applichi uno o più criteri che selezionano un carico di lavoro come soggetto, è consentito solo il traffico specificato da un criterio.

Quando utilizzi un indirizzo IP noto che hai allocato per il progetto, viene eseguita una Network Address Translatione di origine (NAT) sul traffico in uscita dall'organizzazione.

Criteri di rete a livello di workload

Puoi creare policy di rete a livello di workload per definire controllo dell'accesso granulare per singoli pod e VM all'interno di un progetto. Questi criteri fungono da firewall per i tuoi carichi di lavoro, controllando il flusso di traffico in base alle etichette per migliorare la sicurezza e isolare le applicazioni. Questa granularità consente un controllo più rigoroso su quali carichi di lavoro possono comunicare tra loro all'interno e tra i progetti.

Preparare ruoli e accesso predefiniti

Per configurare i criteri di rete del progetto, devi disporre dei ruoli di identità e accesso necessari:

  • Amministratore NetworkPolicy progetto: gestisce le policy di rete del progetto nello spazio dei nomi del progetto. Chiedi all'amministratore IAM dell'organizzazione di concederti il ruolo del cluster Project NetworkPolicy Admin (project-networkpolicy-admin).

Passaggi successivi