Esta página oferece uma vista geral das políticas de rede do projeto no dispositivo isolado do Google Distributed Cloud (GDC).
As políticas de rede do projeto definem regras de entrada ou saída. Ao contrário das políticas de rede do Kubernetes, só pode especificar um tipo de política para uma política.
Para o tráfego num projeto, a GDC aplica uma política de rede do projeto predefinida, a política intraprojeto, a cada projeto por predefinição.
Por predefinição, os serviços e as cargas de trabalho num projeto estão isolados de serviços e cargas de trabalho externos. No entanto, os serviços e as cargas de trabalho de diferentes espaços de nomes de projetos podem comunicar entre si aplicando políticas de rede de tráfego entre projetos.
As regras de firewall de entrada e saída são os principais componentes das políticas de rede do projeto e determinam que tipos de tráfego são permitidos na sua rede. Para definir regras de firewall para o espaço de nomes do seu projeto na GDC, use a consola da GDC.
Segurança e conetividade
Por predefinição, os serviços e as cargas de trabalho num projeto estão isolados nesse projeto. Não podem comunicar com serviços e cargas de trabalho externos sem configurar uma política de rede.
Para definir uma política de rede para o espaço de nomes do seu projeto no GDC, use o recurso ProjectNetworkPolicy. Este recurso
permite-lhe definir políticas que permitem a comunicação nos projetos,
entre projetos, para endereços IP externos e a partir de endereços IP externos. Além disso, só pode transferir cargas de trabalho de um projeto se desativar a proteção contra a exfiltração de dados para o projeto.
As políticas de rede do projeto da GDC são cumulativas. A aplicação resultante para uma carga de trabalho é uma correspondência qualquer para o fluxo de tráfego em relação à união de todas as políticas aplicadas a essa carga de trabalho. Quando existem várias políticas, as regras de cada política são combinadas de forma aditiva, permitindo o tráfego se corresponder a, pelo menos, uma das regras.
Além disso, depois de aplicar uma única política, todo o tráfego que não especificar é recusado. Por conseguinte, quando aplica uma ou mais políticas que selecionam uma carga de trabalho como o assunto, apenas o tráfego que uma política especifica é permitido.
Quando usa um endereço IP conhecido que atribui ao projeto, é realizada uma tradução de endereços de rede (NAT) de origem no tráfego de saída da organização.
Políticas de rede ao nível da carga de trabalho
Pode criar políticas de rede ao nível da carga de trabalho para definir o controlo de acesso detalhado para VMs e pods individuais num projeto. Estas políticas funcionam como firewalls para as suas cargas de trabalho, controlando o fluxo de tráfego com base em etiquetas para melhorar a segurança e isolar as aplicações. Esta granularidade permite um controlo mais rigoroso sobre que cargas de trabalho podem comunicar entre si dentro e entre projetos.
Prepare funções e acesso predefinidos
Para configurar políticas de rede do projeto, tem de ter as funções de identidade e acesso necessárias:
- Administrador da NetworkPolicy do projeto: gere as políticas de rede do projeto no espaço de nomes do projeto. Peça ao administrador de IAM da organização para lhe conceder a função de cluster de administrador da NetworkPolicy do projeto (
project-networkpolicy-admin).