Vista geral

Esta página oferece uma vista geral das políticas de rede do projeto no Google Distributed Cloud (GDC) air-gapped.

As políticas de rede do projeto definem regras de entrada ou saída. Ao contrário das políticas de rede do Kubernetes, só pode especificar um tipo de política para uma política.

Para o tráfego num projeto, a GDC aplica uma política de rede do projeto predefinida, a política intraprojeto, a cada projeto por predefinição.

Por predefinição, os serviços e as cargas de trabalho num projeto estão isolados de serviços e cargas de trabalho externos. No entanto, os serviços e as cargas de trabalho de diferentes espaços de nomes de projetos e dentro da mesma organização podem comunicar entre si aplicando políticas de rede de tráfego entre projetos.

Da mesma forma, a ligação de serviços e cargas de trabalho a um destino fora do seu projeto numa organização diferente requer aprovação explícita. Tem de desativar a proteção contra exfiltração de dados para permitir o tráfego externo à organização.

As regras de firewall de entrada e saída são os principais componentes das políticas de rede do projeto e determinam que tipos de tráfego são permitidos na sua rede. Para definir regras de firewall para o espaço de nomes do seu projeto na GDC, use a consola da GDC.

Segurança e conetividade

Por predefinição, os serviços e as cargas de trabalho num projeto estão isolados nesse projeto. Não podem comunicar com serviços e cargas de trabalho externos sem configurar uma política de rede.

Para definir uma política de rede para o espaço de nomes do seu projeto no GDC, use o recurso ProjectNetworkPolicy. Este recurso permite-lhe definir políticas que permitem a comunicação nos projetos, entre projetos, para endereços IP externos e a partir de endereços IP externos. Além disso, só pode transferir cargas de trabalho de um projeto se desativar a proteção contra a exfiltração de dados para o projeto.

As políticas de rede do projeto da GDC são cumulativas. A aplicação resultante para uma carga de trabalho é uma correspondência qualquer para o fluxo de tráfego em relação à união de todas as políticas aplicadas a essa carga de trabalho. Quando existem várias políticas, as regras de cada política são combinadas de forma aditiva, permitindo o tráfego se corresponder a, pelo menos, uma das regras.

Além disso, depois de aplicar uma única política, todo o tráfego que não especificar é recusado. Por conseguinte, quando aplica uma ou mais políticas que selecionam uma carga de trabalho como o assunto, apenas o tráfego que uma política especifica é permitido.

Quando usa um endereço IP conhecido que atribui ao projeto, é realizada uma tradução de endereços de rede (NAT) de origem no tráfego de saída da organização.

Políticas de rede de projetos globais

Pode criar políticas de rede de projetos globais. O âmbito das políticas de rede de projetos globais abrange um universo da GDC. Cada universo do GDC pode consistir em várias zonas do GDC organizadas em regiões interligadas e que partilham um plano de controlo. Por exemplo, um universo composto por duas regiões com três zonas cada pode ter o seguinte aspeto: us-virginia1-a, us-virginia1-b, us-virginia1-c e eu-ams1-a, eu-ams1-b, eu-ams1-c.

O âmbito das políticas de rede do projeto zonal está limitado às zonas especificadas no momento da criação. Cada zona é um domínio de desastre independente. Uma zona gere a infraestrutura, os serviços, as APIs e as ferramentas que usam um plano de controlo local.

Para mais informações sobre os recursos globais num universo da GDC, consulte o artigo Vista geral de várias zonas.

Pode criar políticas de rede de projetos globais através da API Networking Kubernetes Resource Model (KRM). Use a versão da API networking.global.gdc.goog para criar recursos globais.

Pode criar políticas de rede de projetos zonais através da API KRM ou da consola GDC. Use a versão da API networking.gdc.goog para criar recursos zonais.

Políticas de rede de permissão total

Pode criar políticas de rede de permissão total para estabelecer regras de acesso predefinidas e abrangentes para um projeto.

Pode configurar os seguintes tipos de políticas de rede de permissão total:

  • Política de rede Permitir tudo: permite o tráfego de e para qualquer origem, o que inclui outros projetos e IPs externos.
  • Política de rede allow-all-external: permite o tráfego de e para endereços IP externos à organização.
  • Política de rede allow-all-projects: permite o tráfego de e para todos os projetos na organização.

Para mais informações, consulte o artigo Crie políticas de rede de tráfego de permissão total.

Políticas de rede ao nível da carga de trabalho

Pode criar políticas de rede ao nível da carga de trabalho para definir o controlo de acesso detalhado para VMs e pods individuais num projeto. Estas políticas funcionam como firewalls para as suas cargas de trabalho, controlando o fluxo de tráfego com base em etiquetas para melhorar a segurança e isolar as aplicações. Esta granularidade permite um controlo mais rigoroso sobre que cargas de trabalho podem comunicar entre si dentro e entre projetos.

As políticas de rede ao nível da carga de trabalho também oferecem a capacidade de aplicar o PNP ao longo de uma única zona.

Para mais informações, consulte os artigos Crie uma política intraprojeto ao nível da carga de trabalho e Crie uma política entre projetos ao nível da carga de trabalho.

Prepare funções e acesso predefinidos

Para configurar políticas de rede do projeto, tem de ter as funções de identidade e acesso necessárias:

  • Administrador da NetworkPolicy do projeto: gere as políticas de rede do projeto no espaço de nomes do projeto. Peça ao administrador de IAM da organização para lhe conceder a função de cluster de administrador da NetworkPolicy do projeto (project-networkpolicy-admin).
  • Administrador de PNP global: tem autorizações de escrita em todos os recursos de PNP de várias zonas no namespace do projeto global. Peça ao administrador de IAM da organização para lhe conceder a função de administrador global do PNP (global-project-networkpolicy-admin). Para mais informações, consulte o artigo Descrições de funções predefinidas.

O que se segue?