Halaman ini menjelaskan cara mengontrol aliran traffic jaringan antara Pod dan Layanan yang menggunakan aturan firewall di level Pod.
Kebijakan jaringan untuk aplikasi membantu Anda menentukan aturan traffic komunikasi antar Pod. Pod mengontrol cara Pod berkomunikasi dengan satu sama lain dalam aplikasi mereka dan dengan endpoint eksternal. Anda dapat mengaktifkan kebijakan jaringan pada jaringan Pod di cluster edisi Google Kubernetes Engine (GKE) Enterprise yang mengaktifkan multi-jaringan. Anda dapat menerapkan kebijakan jaringan pada Pod tambahan antarmuka yang sesuai dengan jaringan Pod yang ditentukan pengguna.
Alasan menggunakan kebijakan jaringan multi-jaringan
Anda mungkin ingin menggunakan kebijakan jaringan multi-jaringan di skenario:
Keamanan jaringan yang ditingkatkan: Anda ingin mengisolasi dan melindungi data atau beban kerja yang sensitif dengan menentukan kebijakan jaringan untuk Pod-network. Kebijakan jaringan multi-jaringan membatasi eksposur dan mengurangi permukaan serangan.
Kontrol traffic terperinci: Anda ingin memperoleh kontrol yang akurat pada aliran traffic antara Pod dan Layanan di berbagai jaringan Pod, memungkinkan persyaratan keamanan dan topologi jaringan yang kompleks.
Lingkungan multi-tenant: Anda ingin membuat jaringan yang terisolasi untuk tenant atau aplikasi yang berbeda, memastikan mereka tidak dapat mengganggu komunikasi satu sama lain, sambil mempertahankan kendali atas akses jaringan dalam tiap jaringan Pod.
Mengoptimalkan penggunaan resource: Anda ingin menerapkan jaringan kebijakan pada jaringan Pod tertentu untuk mengalokasikan resource dan memprioritaskan traffic berdasarkan persyaratan aplikasi, meningkatkan performa dan keandalan.
Keamanan untuk Fungsi Jaringan dalam Container (CNF): Anda ingin memisahkan traffic pengelolaan dari traffic dataplane dalam Pod yang sama, mencegah potensi pelanggaran keamanan dan akses yang tidak sah.
Cara kerja kebijakan jaringan multi-jaringan dengan jaringan Pod
Diagram berikut mengilustrasikan bagaimana kebijakan jaringan, diterapkan pada Pod-jaringan menggunakan anotasi, mengontrol aliran traffic antar Pod dalam cluster GKE.
Diagram sebelumnya menunjukkan beberapa node pekerja yang menjalankan Pod (dalam container aplikasi) dan cara keduanya berkomunikasi dalam node yang sama atau lintas {i>node<i} menggunakan infrastruktur jaringan. Hal ini juga menggambarkan penggunaan jaringan kebijakan untuk mengontrol arus lalu lintas dan segmentasi jaringan menggunakan VPC dan subnet untuk organisasi dan keamanan yang lebih baik.
- Mengisolasi traffic dengan Kebijakan Jaringan yang ditargetkan: Kebijakan jaringan
hanya mempengaruhi
lalu lintas pada warna "biru" Pod-network karena anotasi
networking.gke.io/network: blue-Pod-network
. Traffic di default Jaringan pod tetap tidak dibatasi. - Menerapkan traffic satu arah dengan kebijakan jaringan Pod: Dalam contoh diagram, kebijakan jaringan mengizinkan Pod1 untuk mengirim lalu lintas data ke Pod2 dengan Pod-network. Pod2 tidak bisa mengirim traffic kembali ke Pod1 di jaringan yang sama. Tujuan kebijakan jaringan untuk Pod berlabel 'test-app-2' berfungsi sebagai saluran satu arah. Secara khusus mengizinkan traffic keluar hanya menuju Pod yang diberi label 'test-app-3', yang mencegah komunikasi dengan Pod lain seperti 'test-app-1'.
- Mengizinkan traffic keluar secara default: Jika tidak ada kebijakan traffic keluar yang ditetapkan untuk Pod (dalam contoh ini Pod1), semua traffic keluar diizinkan oleh default-nya adalah antarmuka jaringan.
- Memastikan kompatibilitas fitur yang ada: Semua GKE standar opsi kebijakan jaringan seperti pemilih label dan blok alamat IP yang dapat digunakan kebijakan jaringan multi-jaringan.
- Mengontrol cakupan kebijakan jaringan dengan anotasi:
- Jika Anda membuat kebijakan jaringan tanpa anotasi, GKE menerapkan kebijakan jaringan multi-jaringan untuk semua antarmuka jaringan pada Pod di namespace yang dipilih, terlepas dari jaringan Pod yang terhubung dengan mereka.
- Jika Anda menyertakan anotasi dan menentukan nama
Jaringan pod (misalnya
networking.gke.io/network: blue-Pod-network
), GKE menerapkan kebijakan ke Pod yang terhubung ke Pod-network. - Jika anotasi merujuk ke jaringan Pod yang sebenarnya tidak ada GKE tidak menerapkan kebijakan jaringan untuk Pod sama sekali. Hal ini dikarenakan tidak ada Pod yang terhubung ke instance jaringan yang tidak ada.
- Mempertahankan komunikasi lintas jaringan untuk Pod dengan beberapa jaringan antarmuka:Jika Anda menerapkan kebijakan jaringan untuk membatasi traffic di untuk jaringan Pod tertentu di dalam Pod, hal ini tidak akan memengaruhi traffic di Jaringan pod yang terhubung ke Pod yang sama.
Manfaat
Berikut ini manfaat penggunaan kebijakan jaringan multi-jaringan:
Peningkatan Keamanan: Anda dapat memitigasi risiko yang terkait dengan serangan akses dan pergerakan lateral dalam cluster GKE menerapkan kebijakan jaringan secara terperinci.
Fleksibilitas dan Penyesuaian: Anda dapat menyesuaikan kebijakan jaringan untuk memenuhi kebutuhan manajemen lalu lintas dan keamanan khusus Anda untuk berbagai Jaringan pod dengan mengakomodasi beragam workload dan aplikasi.
Pengelolaan Jaringan yang Disederhanakan: Anda dapat menghindari pembuatan konten yang berlebihan dan memiliki kontrol terperinci atas komunikasi dengan kebijakan jaringan, menyederhanakan pengelolaan jaringan, dan mengurangi kompleksitas.
Pengoptimalan Biaya: Dengan menghindari kebutuhan untuk membuat banyak jaringan Pod, Anda dapat mengoptimalkan pemanfaatan sumber daya dan mengurangi biaya yang terkait dengan infrastruktur jaringan.
Perlindungan yang Ditingkatkan untuk CNF: Anda dapat memastikan keamanan dan integritas deployment CNF dengan mengisolasi traffic manajemen dan dataplane, serta dengan dengan menerapkan kebijakan jaringan tertentu ke setiap deployment.
Langkah selanjutnya
Mengontrol aliran traffic antara Pod dan Layanan di level Pod