Esta página fornece uma visão geral das políticas de rede do projeto no dispositivo com isolamento físico do Google Distributed Cloud (GDC).
As políticas de rede do projeto definem regras de entrada ou saída. Ao contrário das políticas de rede do Kubernetes, só é possível especificar um tipo de política por política.
Para o tráfego em um projeto, o GDC aplica uma política de rede predefinida, a política intraprojeto, a cada projeto por padrão.
Por padrão, os serviços e as cargas de trabalho em um projeto são isolados de serviços e cargas de trabalho externos. No entanto, serviços e cargas de trabalho de namespaces de projetos diferentes podem se comunicar entre si aplicando políticas de rede de tráfego entre projetos.
As regras de firewall de entrada e saída são os principais componentes das políticas de rede do projeto e determinam quais tipos de tráfego são permitidos dentro e fora da sua rede. Para definir regras de firewall para o namespace do projeto no GDC, use o console do GDC.
Segurança e conectividade
Por padrão, os serviços e as cargas de trabalho em um projeto são isolados dentro dele. Eles não podem se comunicar com serviços e cargas de trabalho externos sem configurar uma política de rede.
Para definir uma política de rede para o namespace do projeto
no GDC, use o recurso ProjectNetworkPolicy. Com esse recurso, é possível definir políticas que permitem a comunicação dentro de projetos, entre projetos, com endereços IP externo e de endereços IP externo. Além disso, só é possível transferir cargas de trabalho de um projeto se você desativar a proteção contra exfiltração de dados para o projeto.
As políticas de rede do projeto do GDC são cumulativas. A aplicação resultante para uma carga de trabalho é uma correspondência any para o fluxo de tráfego em relação à união de todas as políticas aplicadas a essa carga de trabalho. Quando há várias políticas, as regras de cada uma são combinadas de forma aditiva, permitindo o tráfego se ele corresponder a pelo menos uma das regras.
Além disso, depois de aplicar uma única política, todo o tráfego não especificado será negado. Portanto, quando você aplica uma ou mais políticas que selecionam uma carga de trabalho como assunto, apenas o tráfego especificado por uma política é permitido.
Quando você usa um endereço IP conhecido alocado para o projeto, ele realiza uma conversão de endereços de rede de origem (NAT) no tráfego de saída da organização.
Políticas de rede no nível da carga de trabalho
É possível criar políticas de rede no nível da carga de trabalho para definir o controle de acesso refinado para VMs e pods individuais em um projeto. Essas políticas funcionam como firewalls para suas cargas de trabalho, controlando o fluxo de tráfego com base em rótulos para aumentar a segurança e isolar aplicativos. Essa granularidade permite um controle mais rígido sobre quais cargas de trabalho podem se comunicar entre si dentro e entre projetos.
Preparar papéis e acesso predefinidos
Para configurar políticas de rede do projeto, você precisa ter os papéis de identidade e acesso necessários:
- Administrador de NetworkPolicy do projeto: gerencia políticas de rede do projeto no namespace do projeto. Peça ao administrador de IAM da organização para conceder a você a função de administrador do NetworkPolicy do projeto (
project-networkpolicy-admin) no cluster.