Google Distributed Cloud (GDC) Air-gapped 的虛擬網路層可控管 GDC 機構中執行的虛擬機器和 Pod 之間的連線、防火牆、服務探索、負載平衡和可觀測性。
GDC 網路模型
GDC 包含兩個層級的多租戶概念:機構和專案。專案位於機構內,您會將所有虛擬化和容器化工作負載部署至機構內的特定專案。
機構網路
GDC 中的每個機構都有各自獨立的虛擬網路。機構內的虛擬網路是固定 IP 空間,也就是說,機構內的所有工作負載都會直接連線至彼此的 IP 位址。使用專案網路政策,您可以控管機構中不同專案之間的工作負載存取權。
GDC 會在網路層級將每個機構與其他機構隔離。一個機構中的工作負載無法直接透過 IP 位址連線至另一個機構中的工作負載。
某機構有兩個不同的 IP 範圍:內部範圍和外部範圍。外部 IP 範圍可從機構外部連線,內部 IP 範圍則只能從機構內部連線。系統一律會從機構的內部範圍為工作負載指派 IP 位址,因此預設無法從機構外部存取工作負載。您必須使用「專案網路」一節所述的 Ingress 和 Egress 限制,明確啟用工作負載的輸入和輸出流量。
專案網路
您會將所有虛擬機器 (VM) 和容器化工作負載部署到專案。專案可做為機構內的網路區隔界線。
專案內的工作負載可以直接通訊。不過,預設網路政策會禁止不同專案中的工作負載進行通訊。專案網路政策 (ProjectNetworkPolicy) 可讓您設定機構中哪些專案可以彼此通訊。如果專案網路政策允許,機構中的工作負載就能使用各自的 IP 位址,在 L3 網路層相互連線。對於需要傳入或傳出流量的每個工作負載,您必須明確啟用機構的傳入和傳出限制。
設定負載平衡器
負載平衡器會將流量分配到應用程式的後端工作負載,確保穩定性和可用性。為 Pod 和 VM 工作負載建立外部和內部負載平衡器。GDC 提供三種負載平衡器設定方法。詳情請參閱「管理負載平衡器」。
輸入限制
用來在機構外部公開工作負載的機制,會因工作負載是以 VM 為基礎還是以容器為基礎而有所不同。
您可以使用 VM 外部存取功能,將以 VM 為基礎的工作負載公開給機構外部。您必須為每個 VM 啟用這項功能。每個 VM 都會從機構的外部範圍取得自己的 IP 位址。
另一方面,您可以使用外部負載平衡器功能,在機構外部公開容器化工作負載。您可以建立外部負載平衡器,GDC 會指派外部 IP 位址。然後,流量可以在一組後端 Pod 工作負載之間達到負載平衡。
輸出限制
您必須為每個專案和工作負載明確啟用輸出流量,才能與機構外部通訊。啟用輸出流量後,工作負載的 IP 會在連線至機構外部時,透過網路位址轉譯 (NAT) 變更為外部 IP。如要進一步瞭解如何允許輸出流量,請參閱「管理機構的輸出流量」。
網路政策強制執行模式
機構內工作負載的安全防護狀態,是預設和使用者建立的專案網路政策的聯集。
政策執行作業會根據第 3 層和第 4 層的流量進行。流程會依下列方式說明 5 元組連線:
- 來源 IP 位址
- 目的地 IP 位址
- 來源通訊埠
- 目的地通訊埠
- 通訊協定,例如
TCP或UDP
網路政策會在主機來源工作負載的節點上,對輸出流量執行強制措施,並在流量抵達主機目的地工作負載的節點時,對輸入流量執行強制措施。因此,如要建立連線,您必須允許政策從來源離開,前往目的地,並從來源抵達目的地。
回覆流量 (例如回覆 SYN 區隔的 SYN-ACK (同步處理確認) 區隔) 不受強制執行措施影響。因此,如果允許啟動流量,系統一律會允許回覆流量。因此,您只會觀察到因用戶端啟動連線時強制執行政策而導致的連線逾時。遭拒絕的流量會在從來源節點傳出資料時捨棄,或在目的地節點傳入資料時捨棄。接收工作負載從未觀察到連線。
系統會根據允許型政策規則 (屬於外加規則) 進行強制執行。工作負載的最終強制執行結果是「任何相符」的流量,與套用至該工作負載的所有政策聯集相符。如果有多項政策,系統會將套用至各工作負載的規則加總合併,只要流量符合至少一項規則,就會允許流量通過。您沒有 deny 規則,只有 allow 規則。
如果網路政策拒絕流程,您不會收到回應封包,且會觀察到連線逾時。 因此,任何遭拒或重設的通訊協定層級連線或 HTTP 錯誤,並非網路強制執行的直接結果。
如要進一步瞭解 Kubernetes 網路政策,請參閱 https://kubernetes.io/docs/concepts/services-networking/network-policies/#the-two-sorts-of-pod-isolation。