概要

このページでは、Google Distributed Cloud(GDC)エアギャップ アプライアンスのプロジェクト ネットワーク ポリシーの概要について説明します。

プロジェクト ネットワーク ポリシーは、上り(内向き)ルールまたは下り(外向き)ルールのいずれかを定義します。Kubernetes ネットワーク ポリシーとは異なり、ポリシーに指定できるポリシータイプは 1 つだけです。

プロジェクト内のトラフィックの場合、GDC はデフォルトで、事前定義されたプロジェクト ネットワーク ポリシー(プロジェクト内ポリシー)を各プロジェクトに適用します。

プロジェクト内のサービスとワークロードは、デフォルトで外部のサービスとワークロードから分離されています。ただし、プロジェクト間のトラフィック ネットワーク ポリシーを適用することで、異なるプロジェクト Namespace の Service とワークロードが相互に通信できます。

上り(内向き)と下り(外向き)のファイアウォール ルールは、プロジェクト ネットワーク ポリシーの主なコンポーネントであり、ネットワークに出入りするトラフィックの種類を決定します。GDC でプロジェクトの名前空間のファイアウォール ルールを設定するには、GDC コンソールを使用します。

セキュリティと接続

デフォルトでは、プロジェクト内のサービスとワークロードは、そのプロジェクト内で分離されます。ネットワーク ポリシーを構成しないと、外部サービスやワークロードと通信できません。

GDC でプロジェクトの名前空間のネットワーク ポリシーを設定するには、ProjectNetworkPolicy リソースを使用します。このリソースを使用すると、プロジェクト内、プロジェクト間、外部 IP アドレスとの通信を許可するポリシーを定義できます。また、プロジェクトからワークロードを転送できるのは、プロジェクトのデータ漏洩保護を無効にする場合に限られます。

GDC プロジェクトのネットワーク ポリシーは追加型です。ワークロードの結果として得られる適用は、そのワークロードに適用されるすべてのポリシーの結合に対するトラフィック フローの any 一致です。複数のポリシーが存在する場合、各ポリシーのルールが加算的に結合され、少なくとも 1 つのルールに一致するトラフィックが許可されます。

また、単一のポリシーを適用すると、指定されていないすべてのトラフィックが拒否されます。したがって、ワークロードをサブジェクトとして選択する 1 つ以上のポリシーを適用すると、ポリシーで指定されたトラフィックのみが許可されます。

プロジェクトに割り当てた既知の IP アドレスを使用すると、組織からのアウトバウンド トラフィックに対して送信元ネットワーク アドレス変換(NAT)が実行されます。

ワークロード レベルのネットワーク ポリシー

ワークロード レベルのネットワーク ポリシーを作成して、プロジェクト内の個々の VM と Pod に対するきめ細かいアクセス制御を定義できます。これらのポリシーは、ワークロードのファイアウォールとして機能し、ラベルに基づいてトラフィック フローを制御して、セキュリティを強化し、アプリケーションを分離します。この粒度により、プロジェクト内およびプロジェクト間で相互に通信できるワークロードをより厳密に制御できます。

事前定義ロールとアクセス権を準備する

プロジェクト ネットワーク ポリシーを構成するには、必要な ID とアクセスロールが必要です。

  • プロジェクト NetworkPolicy 管理者: プロジェクト Namespace のプロジェクト ネットワーク ポリシーを管理します。組織の IAM 管理者に、プロジェクトの NetworkPolicy 管理者(project-networkpolicy-admin)クラスタロールを付与するよう依頼します。

次のステップ