프로젝트 내 트래픽 네트워크 정책 만들기

이 페이지에서는 Google Distributed Cloud (GDC) 에어 갭에서 프로젝트 내 트래픽 네트워크 정책을 구성하는 방법을 설명합니다.

프로젝트 네트워크 정책은 인그레스 또는 이그레스 규칙을 정의합니다. 프로젝트 내, 프로젝트 간, 외부 IP 주소와의 통신을 허용하는 정책을 정의할 수 있습니다.

단일 영역 내에서 프로젝트 내 트래픽 적용이 필요한 경우 워크로드 수준 네트워크 정책 만들기를 참고하세요.

시작하기 전에

프로젝트 내 트래픽 네트워크 정책을 구성하려면 다음이 필요합니다.

• 필요한 ID 및 액세스 역할입니다. 자세한 내용은 사전 정의된 역할 및 액세스 준비를 참고하세요.
• 기존 프로젝트입니다. 자세한 내용은 프로젝트 만들기를 참조하세요.

프로젝트 내 트래픽 정책 만들기

프로젝트 내 트래픽의 경우 GDC는 사전 정의된 프로젝트 네트워크 정책인 프로젝트 내 정책을 각 프로젝트에 기본적으로 적용합니다. 기본적으로 프로젝트 네임스페이스의 워크로드는 외부 리소스에 아무것도 노출하지 않고 서로 통신할 수 있습니다.

기본적으로 이그레스 정책이 없으므로 모든 프로젝트 내 트래픽에 대해 아웃바운드 트래픽이 허용됩니다. 하지만 단일 이그레스 정책을 설정하면 정책에서 지정한 트래픽만 허용됩니다.

인그레스 프로젝트 내 트래픽 네트워크 정책

프로젝트를 만들면 프로젝트 내 통신을 허용하는 기본 기본 ProjectNetworkPolicy 리소스가 암시적으로 생성됩니다. 이 정책은 동일한 프로젝트의 다른 워크로드로부터의 인바운드 트래픽을 허용합니다.

기본 정책을 삭제할 수 있지만 이렇게 하면 프로젝트 내의 모든 서비스와 워크로드에 대한 프로젝트 내 통신이 거부됩니다.

전역 이그레스 프로젝트 내 트래픽 네트워크 정책 만들기

이 프로젝트 네트워크 정책을 유니버스의 모든 영역에 적용하려면 전역 정책을 지정하세요. GDC 유니버스의 전역 리소스에 대한 자세한 내용은 멀티 영역 개요를 참고하세요.

데이터 유출 방지를 사용 중지하고 외부 리소스에 대한 액세스를 방지하는 등 ProjectNetworkPolicy 이그레스 정책을 프로젝트에 적용하는 경우 다음 필수 정책을 사용하여 프로젝트 내 아웃바운드 트래픽을 허용하세요.

kubectl --kubeconfig GLOBAL_API_SERVER apply -f - <<EOF
apiVersion: networking.global.gdc.goog/v1
kind: ProjectNetworkPolicy
metadata:
  namespace: PROJECT
  name: allow-intra-project-outbound-traffic
spec:
  policyType: Egress
  egress:
  - to:
    - projectSelector:
        projects:
          matchNames:
          - PROJECT
EOF

다음을 바꿉니다.

• GLOBAL_API_SERVER: 전역 API 서버의 kubeconfig 경로입니다. 자세한 내용은 전역 및 영역별 API 서버를 참고하세요. API 서버의 kubeconfig 파일을 아직 생성하지 않은 경우 로그인에서 자세한 내용을 확인하세요.
• PROJECT: 프로젝트 내 아웃바운드 트래픽을 허용할 프로젝트의 이름입니다.