이 페이지에서는 Google Distributed Cloud (GDC) 에어 갭에서 조직 간 트래픽 네트워크 정책을 구성하는 방법을 설명합니다.
조직 간 트래픽은 서로 다른 조직의 서비스와 워크로드 간의 통신을 의미합니다.
시작하기 전에
조직 간 트래픽 네트워크 정책을 구성하려면 다음이 필요합니다.
- 필요한 ID 및 액세스 역할입니다. 자세한 내용은 사전 정의된 역할 및 액세스 준비를 참고하세요.
- 기존 프로젝트입니다. 자세한 내용은 프로젝트 만들기를 참조하세요.
- 데이터 유출 방지 사용 중지
- 다음 네트워크 구성 중 하나:
- 공통 Interconnect AttachmentGroup을 사용하는 조직
- 각각의 외부 피어링된 네트워크를 통해 연결을 사용하는 조직
조직 간 트래픽 정책 만들기
인그레스 또는 이그레스 교차 조직 트래픽 정책을 정의하여 서로 다른 조직의 서비스와 워크로드 간 통신을 관리할 수 있습니다.
조직 간 트래픽은 서로 다른 조직의 서비스와 워크로드 간의 통신을 의미합니다.
조직의 모든 영역의 트래픽에 적용되는 전역 조직 간 트래픽 프로젝트 네트워크 정책을 만들 수 있습니다. GDC 유니버스의 전역 리소스에 대한 자세한 내용은 멀티 영역 개요를 참고하세요.
다른 조직의 프로젝트 외부 대상에 서비스와 워크로드를 연결하려면 명시적 승인이 필요합니다. 조직 간 트래픽을 허용하려면 데이터 유출 방지 기능을 사용 중지해야 합니다.
조직 간 트래픽을 위한 전역 인그레스 방화벽 규칙 만들기
외부 부하 분산기를 사용하여 프로젝트에서 워크로드를 노출하는 경우 외부 클라이언트 IP 주소가 워크로드에 액세스할 수 있도록 ProjectNetworkPolicy
인그레스 정책도 만들어야 합니다.
이 전역 수신 정책은 조직의 모든 영역에 적용됩니다.
다음 단계를 따라 새 방화벽 규칙을 만들고 다른 조직의 프로젝트에 있는 워크로드로부터의 인바운드 트래픽을 허용합니다.
콘솔
- 구성 중인 프로젝트의 GDC 콘솔에서 탐색 메뉴의 네트워킹 > 방화벽으로 이동하여 방화벽 페이지를 엽니다.
- 작업 표시줄에서 만들기를 클릭하여 새 방화벽 규칙을 만듭니다.
방화벽 규칙 세부정보 페이지에서 다음 정보를 입력합니다.
- 이름 필드에 방화벽 규칙의 유효한 이름을 입력합니다.
- 트래픽 방향 섹션에서 인그레스를 선택하여 다른 조직의 워크로드에서 인바운드 트래픽을 허용합니다.
- 타겟 섹션에서 다음 옵션 중 하나를 선택합니다.
- 모든 사용자 워크로드: 구성 중인 프로젝트의 워크로드에 대한 연결을 허용합니다.
- 서비스: 이 방화벽 규칙이 구성 중인 프로젝트 내의 특정 서비스를 타겟팅함을 나타냅니다.
- 타겟이 프로젝트 서비스인 경우 서비스 드롭다운 메뉴의 사용 가능한 서비스 목록에서 서비스 이름을 선택합니다.
- 보낸 사람 섹션에서 조직 외부를 선택하고 CIDR 필드에 다른 조직의 CIDR 블록을 입력하여 해당 조직의 네트워크에서 연결을 허용합니다.
- 타겟이 모든 사용자 워크로드인 경우 프로토콜 및 포트 섹션에서 다음 옵션 중 하나를 선택합니다.
- 모두 허용: 모든 프로토콜 또는 포트를 사용하여 연결을 허용합니다.
- 지정된 프로토콜 및 포트: 인그레스 방화벽 규칙의 해당 필드에 지정된 프로토콜 및 포트만 사용하여 연결을 허용합니다.
방화벽 규칙 세부정보 페이지에서 만들기를 클릭합니다.
이제 다른 조직의 프로젝트 워크로드에서 연결이 허용됩니다. 방화벽 규칙을 만들면 방화벽 페이지의 표에 규칙이 표시됩니다.
API
맞춤설정된 ProjectNetworkPolicy
인그레스 정책을 구성하고 적용합니다.
kubectl --kubeconfig GLOBAL_API_SERVER apply -f - <<EOF
apiVersion: networking.global.gdc.goog/v1
kind: ProjectNetworkPolicy
metadata:
namespace: PROJECT
name: allow-inbound-traffic-from-external
spec:
policyType: Ingress
subject:
subjectType: UserWorkload
ingress:
- from:
- ipBlock:
cidr: CIDR
EOF
다음을 바꿉니다.
GLOBAL_API_SERVER
: 전역 API 서버의 kubeconfig 경로입니다. 자세한 내용은 전역 및 영역별 API 서버를 참고하세요. API 서버의 kubeconfig 파일을 아직 생성하지 않은 경우 로그인에서 자세한 내용을 확인하세요.PROJECT
: GDC 프로젝트의 이름입니다.CIDR
: 다른 조직의 CIDR 블록입니다.
이 정책은 외부 부하 분산기가 소스 외부 IP 주소를 유지하고 반환 경로에서 부하 분산기를 우회하는 직접 서버 반환 (DSR)을 사용하므로 필요합니다.
조직 간 트래픽에 대한 전역 이그레스 방화벽 규칙 만들기
조직 외부의 서비스로 데이터를 전송하려면 먼저 데이터 무단 반출 보호를 사용 중지해야 합니다. 그런 다음 프로젝트 워크로드 또는 서비스에서 아웃바운드 트래픽을 허용하도록 이그레스 방화벽 규칙을 구성해야 합니다.
이 섹션에서는 프로젝트 수준에서 아웃바운드 트래픽을 사용 설정하는 프로세스를 설명합니다. 워크로드 수준에서 이그레스 연결을 관리하는 방법에 대한 자세한 내용은 워크로드에서 아웃바운드 트래픽 관리를 참고하세요.
이 전역 아웃바운드 방화벽 규칙은 조직의 모든 영역에 적용됩니다.
다음 단계를 따라 새 방화벽 규칙을 만들고 프로젝트 워크로드 또는 서비스에서 다른 조직의 워크로드로 아웃바운드 트래픽을 허용하세요.
콘솔
- 구성 중인 프로젝트의 GDC 콘솔에서 탐색 메뉴의 네트워킹 > 방화벽으로 이동하여 방화벽 페이지를 엽니다.
- 작업 표시줄에서 만들기를 클릭하여 새 방화벽 규칙을 만듭니다.
방화벽 규칙 세부정보 페이지에서 다음 정보를 입력합니다.
- 이름 필드에 방화벽 규칙의 유효한 이름을 입력합니다.
- 트래픽 방향 섹션에서 이그레스를 선택하여 이 방화벽 규칙이 아웃바운드 트래픽을 제어하고 있음을 나타냅니다.
- 타겟 섹션에서 다음 옵션 중 하나를 선택합니다.
- 모든 사용자 워크로드: 구성 중인 프로젝트의 워크로드에서 연결을 허용합니다.
- 서비스: 이 방화벽 규칙이 구성 중인 프로젝트 내의 특정 서비스를 타겟팅함을 나타냅니다.
- 타겟이 프로젝트 서비스인 경우 서비스 드롭다운 메뉴의 사용 가능한 서비스 목록에서 서비스 이름을 선택합니다.
- 받는 사람 섹션에서 조직 외부를 선택하고 CIDR 필드에 다른 조직의 CIDR 블록을 입력하여 해당 조직의 네트워크에 연결할 수 있도록 합니다.
- 타겟이 모든 사용자 워크로드인 경우 프로토콜 및 포트 섹션에서 다음 옵션 중 하나를 선택합니다.
- 모두 허용: 모든 프로토콜 또는 포트를 사용하여 연결을 허용합니다.
- 지정된 프로토콜 및 포트: 이그레스 방화벽 규칙의 해당 필드에 지정된 프로토콜 및 포트만 사용하여 연결을 허용합니다.
방화벽 규칙 세부정보 페이지에서 만들기를 클릭합니다.
이제 다른 조직에 대한 연결이 허용되었습니다. 방화벽 규칙을 만들면 방화벽 페이지의 표에 규칙이 표시됩니다.
API
조직 외부 서비스로의 아웃바운드 트래픽을 사용 설정하려면 ProjectNetworkPolicy
리소스를 맞춤설정하세요. 하지만 데이터 유출 방지가 기본적으로 사용 설정되어 있으므로 맞춤설정된 ProjectNetworkPolicy
이그레스 정책에 상태 필드의 유효성 검사 오류가 표시되고 데이터 플레인에서 이를 무시합니다. 이 동작은 의도된 것입니다.
특정 프로젝트에 대해 데이터 유출을 허용하면 해당 프로젝트에서 워크로드를 전송할 수 있습니다. 허용하는 아웃바운드 트래픽은 프로젝트에 할당된 잘 알려진 IP 주소를 사용하는 소스 네트워크 주소 변환 (NAT)입니다.
맞춤설정된 이그레스 정책을 사용 설정하려면 다음 단계를 따르세요.
프로젝트의 모든 사용자 워크로드에 맞춤설정된
ProjectNetworkPolicy
이그레스 정책을 구성하고 적용합니다.다음 예시를 사용하세요.
kubectl --kubeconfig GLOBAL_API_SERVER apply -f - <<EOF apiVersion: networking.global.gdc.goog/v1 kind: ProjectNetworkPolicy metadata: namespace: PROJECT name: allow-outbound-traffic-to-external spec: subject: subjectType: UserWorkload egress: - to: - ipBlock: cidr: CIDR EOF
이 정책은 조직 외부에 있는 CIDR 블록의 모든 호스트에 대한 아웃바운드 트래픽을 허용합니다. 첫 번째 시도에서는 의도되고 필요한 상태 오류가 발생해야 합니다.
상태에 유효성 검사 오류가 표시되는지 확인합니다.
조직 IAM 관리자에게 데이터 유출 방지 기능을 사용 중지해 달라고 요청합니다. 이 작업은 구성을 사용 설정하는 동시에 다른 모든 아웃바운드 트래픽을 방지합니다.
생성한
ProjectNetworkPolicy
를 확인하고 유효성 검사 상태 필드의 오류가 사라지고 상태Ready
가True
인지 확인합니다. 이는 정책이 적용되고 있음을 나타냅니다.kubectl --kubeconfig GLOBAL_API_SERVER \ get projectnetworkpolicy allow-outbound-traffic-to-external \ -n PROJECT -o yaml
다음을 바꿉니다.
GLOBAL_API_SERVER
: 전역 API 서버의 kubeconfig 경로입니다. 자세한 내용은 전역 및 영역별 API 서버를 참고하세요. API 서버의 kubeconfig 파일을 아직 생성하지 않은 경우 로그인에서 자세한 내용을 확인하세요.PROJECT
: GDC 프로젝트의 이름입니다.
이 정책을 적용하고 다른 이그레스 정책을 정의하지 않은 경우 PROJECT
에 대한 다른 모든 아웃바운드 트래픽이 거부됩니다.