이 페이지에서는 Google Distributed Cloud (GDC) 에어 갭 적용 어플라이언스의 프로젝트 네트워크 정책을 간략히 설명합니다.
프로젝트 네트워크 정책은 인그레스 또는 이그레스 규칙을 정의합니다. Kubernetes 네트워크 정책과 달리 정책에 대해 하나의 정책 유형만 지정할 수 있습니다.
프로젝트 내 트래픽의 경우 GDC는 기본적으로 각 프로젝트에 사전 정의된 프로젝트 네트워크 정책인 intra-project 정책을 적용합니다.
프로젝트의 서비스와 워크로드는 기본적으로 외부 서비스 및 워크로드와 격리됩니다. 하지만 프로젝트 간 트래픽 네트워크 정책을 적용하면 서로 다른 프로젝트 네임스페이스의 서비스와 워크로드가 서로 통신할 수 있습니다.
인그레스 및 이그레스 방화벽 규칙은 프로젝트 네트워크 정책의 주요 구성요소이며 네트워크에서 허용되는 트래픽 유형을 결정합니다. GDC에서 프로젝트 네임스페이스의 방화벽 규칙을 설정하려면 GDC 콘솔을 사용하세요.
보안 및 연결
기본적으로 프로젝트의 서비스와 워크로드는 해당 프로젝트 내에서 격리됩니다. 네트워크 정책을 구성하지 않으면 외부 서비스 및 워크로드와 통신할 수 없습니다.
GDC에서 프로젝트 네임스페이스의 네트워크 정책을 설정하려면 ProjectNetworkPolicy 리소스를 사용하세요. 이 리소스를 사용하면 프로젝트 내, 프로젝트 간, 외부 IP 주소로의 통신 및 외부 IP 주소로부터의 통신을 허용하는 정책을 정의할 수 있습니다. 또한 프로젝트의 데이터 유출 방지 기능을 사용 중지한 경우에만 프로젝트에서 워크로드를 이전할 수 있습니다.
GDC 프로젝트 네트워크 정책은 추가됩니다. 워크로드에 대한 결과 시행은 해당 워크로드에 적용된 모든 정책의 합집합에 대한 트래픽 흐름의 any 일치입니다. 정책이 여러 개 있는 경우 각 정책의 규칙이 가산적으로 결합되어 하나 이상의 규칙과 일치하는 경우 트래픽이 허용됩니다.
또한 단일 정책을 적용하면 지정하지 않은 모든 트래픽이 거부됩니다. 따라서 워크로드를 주체로 선택하는 정책을 하나 이상 적용하면 정책에서 지정한 트래픽만 허용됩니다.
프로젝트에 할당된 잘 알려진 IP 주소를 사용하면 조직에서 나가는 트래픽에 소스 네트워크 주소 변환 (NAT)이 실행됩니다.
워크로드 수준 네트워크 정책
워크로드 수준 네트워크 정책을 만들어 프로젝트 내 개별 VM 및 포드의 세분화된 액세스 제어를 정의할 수 있습니다. 이러한 정책은 워크로드의 방화벽과 같은 역할을 하며, 라벨을 기반으로 트래픽 흐름을 제어하여 보안을 강화하고 애플리케이션을 격리합니다. 이 세부적인 제어를 통해 프로젝트 내 및 프로젝트 간에 서로 통신할 수 있는 워크로드를 보다 엄격하게 제어할 수 있습니다.
사전 정의된 역할 및 액세스 준비
프로젝트 네트워크 정책을 구성하려면 필요한 ID 및 액세스 역할이 있어야 합니다.
프로젝트 NetworkPolicy 관리자: 프로젝트 네임스페이스에서 프로젝트 네트워크 정책을 관리합니다. 조직 IAM 관리자에게 프로젝트 NetworkPolicy 관리자 (project-networkpolicy-admin) 클러스터 역할을 부여해 달라고 요청합니다.
[[["이해하기 쉬움","easyToUnderstand","thumb-up"],["문제가 해결됨","solvedMyProblem","thumb-up"],["기타","otherUp","thumb-up"]],[["이해하기 어려움","hardToUnderstand","thumb-down"],["잘못된 정보 또는 샘플 코드","incorrectInformationOrSampleCode","thumb-down"],["필요한 정보/샘플이 없음","missingTheInformationSamplesINeed","thumb-down"],["번역 문제","translationIssue","thumb-down"],["기타","otherDown","thumb-down"]],["최종 업데이트: 2025-09-04(UTC)"],[],[],null,["# Overview\n\nThis page provides an overview of project network policies in\nGoogle Distributed Cloud (GDC) air-gapped appliance.\n\nProject network policies define either ingress or egress rules. Unlike Kubernetes network policies, you can only specify one policy type for a policy.\n\nFor traffic within a project, GDC applies a predefined project network policy, the intra-project policy, to each project by default.\n\nServices and workloads in a project are isolated from external services and workloads by default. However, services and workloads from different project namespaces can communicate with each other by applying cross-project traffic network policies.\n\nIngress and egress firewall rules are the main components of project network policies and determine which types of traffic are allowed in and out of your network. To set firewall rules for your project namespace in GDC, use the GDC console.\n\nSecurity and connectivity\n-------------------------\n\nBy default, services and workloads in a project are isolated within that\nproject. They cannot communicate with external services and workloads without\nconfiguring a network policy.\n\nTo set a network policy for your project namespace\nin GDC, use the `ProjectNetworkPolicy` resource. This resource\nlets you define policies, which allow communication within projects,\nbetween projects, to external IP addresses, and from external IP addresses. Also, you can transfer workloads out from a project only if you [disable data exfiltration protection for the project](/distributed-cloud/hosted/docs/latest/appliance/platform/pa-user/data-exfiltration#prevent-data-exfiltration).\n\nGDC project network policies are additive. The resulting enforcement for a\nworkload is an *any* match for the traffic flow against the union of all\npolicies applied to that workload. When multiple policies are present, the rules for each\npolicy are additively combined, allowing traffic if it matches at least one of the\nrules.\n\nFurthermore, after you apply a single policy,\nall traffic you don't specify is denied. Therefore, when you apply one or more\npolicies that select a workload as the subject, only the traffic that a policy specifies\nis allowed.\n\nWhen you use a well-known IP address you allocate for the project, it performs a\nsource network address translation (NAT) on the outbound traffic from the\norganization.\n\nWorkload-level network policies\n-------------------------------\n\nYou can create workload-level network policies to define fine-grained access control for individual VMs and pods within a project. These policies act like firewalls for your workloads, controlling traffic flow based on labels to enhance security and isolate applications. This granularity allows stricter control over which workloads can communicate with each other within and across projects.\n\nPrepare predefined roles and access\n-----------------------------------\n\nTo configure project network policies, you must have the necessary identity and access roles:\n\n- Project NetworkPolicy Admin: manages project network policies in the project namespace. Ask your Organization IAM Admin to grant you the Project NetworkPolicy Admin (`project-networkpolicy-admin`) cluster role.\n\nWhat's next\n-----------\n\n- [Create intra-project traffic network policies](/distributed-cloud/hosted/docs/latest/appliance/platform/pa-user/pnp/intra-project-traffic)\n- [Create cross-project traffic network policies](/distributed-cloud/hosted/docs/latest/appliance/platform/pa-user/pnp/cross-project-traffic)"]]
