개요

이 페이지에서는 Google Distributed Cloud (GDC) 에어 갭의 프로젝트 네트워크 정책을 간략히 설명합니다.

프로젝트 네트워크 정책은 인그레스 또는 이그레스 규칙을 정의합니다. Kubernetes 네트워크 정책과 달리 정책에 대해 하나의 정책 유형만 지정할 수 있습니다.

프로젝트 내 트래픽의 경우 GDC는 기본적으로 각 프로젝트에 사전 정의된 프로젝트 네트워크 정책인 intra-project 정책을 적용합니다.

프로젝트의 서비스와 워크로드는 기본적으로 외부 서비스 및 워크로드와 격리됩니다. 하지만 서로 다른 프로젝트 네임스페이스에 있고 동일한 조직 내에 있는 서비스와 워크로드는 교차 프로젝트 트래픽 네트워크 정책을 적용하여 서로 통신할 수 있습니다.

마찬가지로 서비스와 워크로드를 다른 조직의 프로젝트 외부 대상으로 연결하려면 명시적인 승인이 필요합니다. 조직 간 트래픽을 허용하려면 데이터 무단 반출 보호를 사용 중지해야 합니다.

인그레스 및 이그레스 방화벽 규칙은 프로젝트 네트워크 정책의 주요 구성요소이며 네트워크에서 허용되는 트래픽 유형을 결정합니다. GDC에서 프로젝트 네임스페이스의 방화벽 규칙을 설정하려면 GDC 콘솔을 사용하세요.

보안 및 연결

기본적으로 프로젝트의 서비스와 워크로드는 해당 프로젝트 내에서 격리됩니다. 네트워크 정책을 구성하지 않으면 외부 서비스 및 워크로드와 통신할 수 없습니다.

GDC에서 프로젝트 네임스페이스의 네트워크 정책을 설정하려면 ProjectNetworkPolicy 리소스를 사용하세요. 이 리소스를 사용하면 프로젝트 내, 프로젝트 간, 외부 IP 주소로의 통신 및 외부 IP 주소로부터의 통신을 허용하는 정책을 정의할 수 있습니다. 또한 프로젝트의 데이터 유출 방지 기능을 사용 중지한 경우에만 프로젝트에서 워크로드를 이전할 수 있습니다.

GDC 프로젝트 네트워크 정책은 추가됩니다. 워크로드에 대한 결과 시행은 해당 워크로드에 적용된 모든 정책의 합집합에 대한 트래픽 흐름의 any 일치입니다. 정책이 여러 개 있는 경우 각 정책의 규칙이 가산적으로 결합되어 하나 이상의 규칙과 일치하는 경우 트래픽이 허용됩니다.

또한 단일 정책을 적용하면 지정하지 않은 모든 트래픽이 거부됩니다. 따라서 워크로드를 주체로 선택하는 정책을 하나 이상 적용하면 정책에서 지정한 트래픽만 허용됩니다.

프로젝트에 할당된 잘 알려진 IP 주소를 사용하면 조직에서 나가는 트래픽에 소스 네트워크 주소 변환 (NAT)이 실행됩니다.

전역 프로젝트 네트워크 정책

전역 프로젝트 네트워크 정책을 만들 수 있습니다. 전역 프로젝트 네트워크 정책의 범위는 GDC 유니버스에 걸쳐 있습니다. 각 GDC 유니버스는 상호 연결되고 컨트롤 플레인을 공유하는 리전으로 구성된 여러 GDC 영역으로 구성될 수 있습니다. 예를 들어 각 영역이 3개인 두 영역으로 구성된 유니버스는 us-virginia1-a, us-virginia1-b, us-virginia1-ceu-ams1-a, eu-ams1-b, eu-ams1-c와 같이 표시될 수 있습니다.

영역 프로젝트 네트워크 정책의 범위는 생성 시 지정된 영역으로 제한됩니다. 각 영역은 독립적인 재해 도메인입니다. 영역은 로컬 컨트롤 플레인을 사용하는 인프라, 서비스, API, 도구를 관리합니다.

GDC 유니버스의 전역 리소스에 대한 자세한 내용은 멀티 영역 개요를 참고하세요.

네트워킹 Kubernetes 리소스 모델 (KRM) API를 사용하여 전역 프로젝트 네트워크 정책을 만들 수 있습니다. API 버전 networking.global.gdc.goog를 사용하여 전역 리소스를 만듭니다.

KRM API 또는 GDC 콘솔을 사용하여 영역 프로젝트 네트워크 정책을 만들 수 있습니다. API 버전 networking.gdc.goog를 사용하여 영역 리소스를 만듭니다.

모든 네트워크 허용 정책

모두 허용 네트워크 정책을 만들어 프로젝트의 광범위한 기본 액세스 규칙을 설정할 수 있습니다.

다음 유형의 모든 허용 네트워크 정책을 구성할 수 있습니다.

  • 모든 트래픽 허용 트래픽 정책: 다른 프로젝트 및 외부 IP를 포함한 모든 소스로부터의 트래픽을 허용합니다.
  • 모든 외부 트래픽 허용 트래픽 정책: 조직 외부의 IP 주소를 오가는 트래픽을 허용합니다.
  • 모든 프로젝트 허용 트래픽 정책: 조직 내 모든 프로젝트 간 트래픽을 허용합니다.

자세한 내용은 모든 트래픽 허용 네트워크 정책 만들기를 참고하세요.

워크로드 수준 네트워크 정책

워크로드 수준 네트워크 정책을 만들어 프로젝트 내 개별 VM 및 포드의 세분화된 액세스 제어를 정의할 수 있습니다. 이러한 정책은 워크로드의 방화벽과 같은 역할을 하며, 라벨을 기반으로 트래픽 흐름을 제어하여 보안을 강화하고 애플리케이션을 격리합니다. 이 세부적인 제어를 통해 프로젝트 내 및 프로젝트 간에 서로 통신할 수 있는 워크로드를 보다 엄격하게 제어할 수 있습니다.

워크로드 수준 네트워크 정책은 단일 영역을 따라 PNP를 적용하는 기능도 제공합니다.

자세한 내용은 워크로드 수준 네트워크 정책 만들기를 참고하세요.

사전 정의된 역할 및 액세스 준비

프로젝트 네트워크 정책을 구성하려면 필요한 ID 및 액세스 역할이 있어야 합니다.

  • 프로젝트 NetworkPolicy 관리자: 프로젝트 네임스페이스에서 프로젝트 네트워크 정책을 관리합니다. 조직 IAM 관리자에게 프로젝트 NetworkPolicy 관리자 (project-networkpolicy-admin) 클러스터 역할을 부여해 달라고 요청합니다.
  • 전역 PNP 관리자: 전역 프로젝트 네임스페이스의 모든 다중 영역 PNP 리소스에 대한 쓰기 권한이 있습니다. 조직 IAM 관리자에게 글로벌 PNP 관리자 (global-project-networkpolicy-admin) 역할을 부여해 달라고 요청하세요. 자세한 내용은 사전 정의된 역할 설명을 참고하세요.

다음 단계