Questa pagina è stata tradotta dall'API Cloud Translation.

Panoramica

Questa pagina fornisce una panoramica delle policy di rete del progetto in Google Distributed Cloud (GDC) con air gap.

I criteri di rete del progetto definiscono regole in entrata o in uscita. A differenza dei criteri di rete Kubernetes, puoi specificare un solo tipo di criterio per un criterio.

Per il traffico all'interno di un progetto, GDC applica per impostazione predefinita a ogni progetto una policy di rete del progetto predefinita, la policy intra-progetto.

Per impostazione predefinita, i servizi e i workload in un progetto sono isolati da servizi e workload esterni. Tuttavia, i servizi e i carichi di lavoro di spazi dei nomi di progetti diversi e all'interno della stessa organizzazione possono comunicare tra loro applicando criteri di rete per il traffico tra progetti.

Allo stesso modo, la connessione di servizi e carichi di lavoro a una destinazione al di fuori del progetto in un'altra organizzazione richiede un'approvazione esplicita. Devi disattivare la protezione dall'esfiltrazione di dati per consentire il traffico tra organizzazioni.

Le regole firewall in entrata e in uscita sono i componenti principali dei criteri di rete del progetto e determinano i tipi di traffico consentiti in entrata e in uscita dalla rete. Per impostare le regole firewall per lo spazio dei nomi del progetto in GDC, utilizza la console GDC.

Sicurezza e connettività

Per impostazione predefinita, i servizi e i carichi di lavoro in un progetto sono isolati all'interno di quel progetto. Non possono comunicare con servizi e workload esterni senza configurare un criterio di rete.

Per impostare una policy di rete per lo spazio dei nomi del progetto in GDC, utilizza la risorsa ProjectNetworkPolicy. Questa risorsa ti consente di definire criteri che consentono la comunicazione all'interno dei progetti, tra progetti, con indirizzi IP esterni e da indirizzi IP esterni. Inoltre, puoi trasferire i carichi di lavoro da un progetto solo se disattivi la protezione dall'esfiltrazione di dati per il progetto.

I criteri di rete del progetto GDC sono cumulativi. L'applicazione risultante per un workload è una corrispondenza qualsiasi per il flusso di traffico rispetto all'unione di tutte le norme applicate a quel workload. Quando sono presenti più policy, le regole di ciascuna policy vengono combinate in modo additivo, consentendo il traffico se corrisponde ad almeno una delle regole.

Inoltre, dopo aver applicato una singola policy, tutto il traffico che non specifichi viene rifiutato. Pertanto, quando applichi uno o più criteri che selezionano un carico di lavoro come soggetto, è consentito solo il traffico specificato da un criterio.

Quando utilizzi un indirizzo IP noto che hai allocato per il progetto, viene eseguita una Network Address Translatione di origine (NAT) sul traffico in uscita dall'organizzazione.

Policy di rete del progetto globali

Puoi creare policy di rete del progetto globali. L'ambito delle policy di rete del progetto globale si estende a un universo GDC. Ogni universo GDC può essere costituito da più zone GDC organizzate in regioni interconnesse e che condividono un control plane. Ad esempio, un universo composto da due regioni con tre zone ciascuna potrebbe essere simile a: us-virginia1-a, us-virginia1-b, us-virginia1-c e eu-ams1-a, eu-ams1-b, eu-ams1-c.

L'ambito dei criteri di rete del progetto zonali è limitato alle zone specificate al momento della creazione. Ogni zona è un dominio di ripristino di emergenza indipendente. Una zona gestisce infrastruttura, servizi, API e strumenti che utilizzano un control plane locale.

Per saperne di più sulle risorse globali in un universo GDC, consulta la panoramica multizona.

Puoi creare criteri di rete del progetto globali utilizzando l'API Networking Kubernetes Resource Model (KRM). Utilizza la versione dell'API networking.global.gdc.goog per creare risorse globali.

Puoi creare policy di rete del progetto zonali utilizzando l'API KRM o la console GDC. Utilizza la versione dell'API networking.gdc.goog per creare risorse a livello di zona.

Criteri di rete che consentono tutto

Puoi creare criteri di rete di tipo Consenti tutto per stabilire regole di accesso predefinite e generali per un progetto.

Puoi configurare i seguenti tipi di criteri di rete di tipo Consenti tutto:

Criterio di traffico Consenti tutto: consente il traffico da e verso qualsiasi origine, inclusi altri progetti e IP esterni.
Criterio di gestione del traffico Consenti tutto esterno: consente il traffico da e verso indirizzi IP esterni all'organizzazione.
Policy di gestione del traffico per tutti i progetti: consente il traffico da e verso tutti i progetti all'interno dell'organizzazione.

Per saperne di più, consulta Creare criteri di rete per il traffico consentito.

Criteri di rete a livello di workload

Puoi creare criteri di rete a livello di workload per definire un controllo dell'accesso granulare per singole VM e singoli pod all'interno di un progetto. Questi criteri fungono da firewall per i tuoi carichi di lavoro, controllando il flusso di traffico in base alle etichette per migliorare la sicurezza e isolare le applicazioni. Questa granularità consente un controllo più rigoroso su quali carichi di lavoro possono comunicare tra loro all'interno e tra i progetti.

I criteri di rete a livello di workload forniscono anche la possibilità di applicare PNP lungo una singola zona.

Per saperne di più, consulta Creare criteri di rete a livello di workload.

Preparare ruoli e accesso predefiniti

Per configurare i criteri di rete del progetto, devi disporre dei ruoli di identità e accesso necessari:

Amministratore NetworkPolicy progetto: gestisce le policy di rete del progetto nello spazio dei nomi del progetto. Chiedi all'amministratore IAM dell'organizzazione di concederti il ruolo cluster Project NetworkPolicy Admin (project-networkpolicy-admin).
Amministratore PNP globale: dispone delle autorizzazioni di scrittura su tutte le risorse PNP multizona nello spazio dei nomi del progetto globale. Chiedi all'amministratore IAM dell'organizzazione di concederti il ruolo Amministratore PNP globale (global-project-networkpolicy-admin). Per ulteriori informazioni, consulta Descrizioni dei ruoli predefiniti.

Panoramica Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.