Esta página descreve as ações de conetividade de saída que tem de realizar numa máquina virtual (VM) ou num pod num projeto para permitir que as cargas de trabalho saiam da organização. O procedimento mostra como adicionar uma etiqueta obrigatória às implementações para ativar explicitamente o tráfego de saída e permitir que as cargas de trabalho comuniquem fora da organização.
Por predefinição, o Google Distributed Cloud (GDC) isolado impede que as cargas de trabalho num projeto saiam da organização. As cargas de trabalho podem sair da organização se o administrador da plataforma (PA) tiver desativado a proteção contra a exfiltração de dados para o projeto. Além de desativar a proteção contra a exfiltração de dados, o operador da aplicação (AO) tem de adicionar a etiqueta egress.networking.gke.io/enabled: true na carga de trabalho do pod para ativar a conetividade de saída para esse pod. Quando atribui e usa um endereço IP conhecido para o projeto, este executa uma tradução de endereços de rede (NAT) de origem no tráfego de saída da organização.
Pode gerir a conetividade de saída das cargas de trabalho num pod ou numa VM.
Faça a gestão do tráfego de saída de cargas de trabalho num pod
Para configurar cargas de trabalho num pod para a conetividade de saída, primeiro tem de garantir que a proteção contra a exfiltração de dados está desativada para o projeto. Em seguida, certifique-se de que a etiqueta egress.networking.gke.io/enabled: true é adicionada no pod. Se estiver a usar uma construção de nível superior, como construções Deployment ou Daemonset, para gerir conjuntos de pods, tem de configurar a etiqueta do pod nessas especificações.
O exemplo seguinte mostra como criar um Deployment a partir do respetivo ficheiro de manifesto. O ficheiro de exemplo contém o valor egress.networking.gke.io/enabled: true no campo labels para ativar explicitamente o tráfego de saída do projeto. Esta etiqueta é adicionada a cada pod na implementação e permite que as cargas de trabalho nos pods saiam da organização.
kubectl --kubeconfig USER_CLUSTER_KUBECONFIG \
apply -f - <<EOF
apiVersion: apps/v1
kind: Deployment
metadata:
name: DEPLOYMENT_NAME
spec:
replicas: NUMBER_OF_REPLICAS
selector:
matchLabels:
run: APP_NAME
template:
metadata:
labels: # The labels given to each pod in the deployment, which are used
# to manage all pods in the deployment.
run: APP_NAME
egress.networking.gke.io/enabled: true
spec: # The pod specification, which defines how each pod runs in the deployment.
containers:
- name: CONTAINER_NAME
image: CONTAINER_IMAGE
EOF
Substitua o seguinte:
USER_CLUSTER_KUBECONFIG: o ficheiro kubeconfig para o cluster de utilizador no qual está a implementar cargas de trabalho de contentores.DEPLOYMENT_NAME: o ficheiro kubeconfig para o cluster do utilizador no qual está a implementar cargas de trabalho de contentores.APP_NAME: o nome da aplicação a executar na implementação.NUMBER_OF_REPLICAS: o número de objetosPodreplicados que a implementação gere.CONTAINER_NAME: o nome do contentor.CONTAINER_IMAGE: o nome da imagem do contentor. Tem de incluir o caminho do registo de contentores e a versão da imagem, comoREGISTRY_PATH/hello-app:1.0.
Por exemplo:
apiVersion: apps/v1
kind: Deployment
metadata:
name: my-app
spec:
replicas: 3
selector:
matchLabels:
run: my-app
template:
metadata:
labels:
run: my-app
egress.networking.gke.io/enabled: true
spec:
containers:
- name: hello-app
image: REGISTRY_PATH/hello-app:1.0
Faça a gestão do tráfego de saída de cargas de trabalho numa VM
Para configurar cargas de trabalho numa VM para conetividade de saída, pode usar a consola do GDC para a configuração da VM ou criar um recurso VirtualMachineExternalAccess. Para obter informações sobre como ativar uma VM com acesso externo para transferência de dados, consulte a secção Ative o acesso externo no artigo Estabeleça ligação a VMs.