Halaman ini menjelaskan cara mengontrol aliran traffic jaringan antara Pod dan Service menggunakan aturan firewall di tingkat Pod.
Kebijakan jaringan untuk aplikasi membantu Anda menentukan aturan traffic komunikasi antar-Pod. Setelan ini mengontrol cara Pod berkomunikasi satu sama lain dalam aplikasi dan dengan endpoint eksternal. Anda dapat mengaktifkan kebijakan jaringan di jaringan Pod dalam cluster edisi Google Kubernetes Engine (GKE) Enterprise yang telah mengaktifkan multi-jaringan. Anda dapat menerapkan kebijakan jaringan pada antarmuka Pod tambahan yang sesuai dengan jaringan Pod yang ditentukan pengguna.
Alasan menggunakan kebijakan jaringan multi-jaringan
Anda mungkin ingin menggunakan kebijakan jaringan multi-jaringan dalam skenario berikut:
Keamanan jaringan yang ditingkatkan: Anda ingin mengisolasi dan melindungi workload atau data sensitif dengan menentukan kebijakan jaringan untuk Pod-network tertentu. Kebijakan jaringan multi-networking membatasi eksposur dan mengurangi permukaan serangan.
Kontrol traffic terperinci: Anda ingin mencapai kontrol yang tepat atas alur traffic antara Pod dan Layanan di berbagai jaringan Pod, sehingga memungkinkan topologi jaringan dan persyaratan keamanan yang kompleks.
Lingkungan multi-tenant: Anda ingin membuat jaringan terisolasi untuk berbagai tenant atau aplikasi, memastikan bahwa mereka tidak dapat mengganggu komunikasi satu sama lain, sekaligus mempertahankan kontrol atas akses jaringan dalam setiap jaringan Pod.
Mengoptimalkan pemanfaatan resource: Anda ingin menerapkan kebijakan jaringan pada jaringan Pod tertentu untuk mengalokasikan resource secara efisien dan memprioritaskan traffic berdasarkan persyaratan aplikasi, sehingga meningkatkan performa dan keandalan.
Keamanan untuk Containerized Network Functions (CNF): Anda ingin memisahkan traffic pengelolaan dari traffic bidang data dalam Pod yang sama, sehingga mencegah potensi pelanggaran keamanan dan akses tidak sah.
Cara kerja kebijakan jaringan multi-jaringan dengan jaringan Pod
Diagram berikut menggambarkan cara kebijakan jaringan, yang diterapkan ke jaringan Pod tertentu menggunakan anotasi, mengontrol aliran traffic antar-Pod dalam cluster GKE.
Diagram sebelumnya menunjukkan beberapa node pekerja yang menjalankan Pod (aplikasi yang di-container) dan cara berkomunikasi dalam node yang sama atau di seluruh node yang berbeda menggunakan infrastruktur jaringan. Dokumen ini juga mengilustrasikan penggunaan kebijakan jaringan untuk mengontrol aliran traffic dan segmentasi jaringan menggunakan VPC dan subnet untuk meningkatkan keamanan dan organisasi.
- Mengisolasi traffic dengan Kebijakan Jaringan yang ditargetkan: Kebijakan jaringan hanya memengaruhi traffic di jaringan Pod "biru" karena adanya anotasi
networking.gke.io/network: blue-Pod-network. Traffic di jaringan Pod default tetap tidak dibatasi. - Menerapkan traffic satu arah dengan kebijakan jaringan Pod: Dalam diagram sebelumnya, kebijakan jaringan memungkinkan Pod1 mengirim traffic ke Pod2 di jaringan Pod "biru". Pod2 tidak dapat mengirim traffic kembali ke Pod1 di jaringan yang sama. Kebijakan jaringan untuk Pod yang diberi label 'test-app-2' berfungsi sebagai saluran satu arah. Secara khusus, kebijakan ini hanya mengizinkan traffic keluar menuju Pod yang diberi label 'test-app-3', sehingga mencegah komunikasi dengan Pod lain seperti 'test-app-1'.
- Mengizinkan traffic keluar secara default: Jika tidak ada kebijakan keluar yang ditentukan untuk Pod (Pod1 dalam contoh ini), semua traffic keluar diizinkan secara default pada antarmuka jaringan "blue".
- Memastikan kompatibilitas fitur yang ada: Semua opsi kebijakan jaringan GKE standar seperti pemilih label dan blok alamat IP berfungsi dengan kebijakan jaringan multi-jaringan.
- Mengontrol cakupan kebijakan jaringan dengan anotasi:
- Jika Anda membuat kebijakan jaringan tanpa anotasi, GKE akan menerapkan kebijakan jaringan multi-jaringan ke semua antarmuka jaringan pada Pod di namespace yang dipilih, terlepas dari jaringan Pod yang terhubung.
- Jika Anda menyertakan anotasi dan menentukan nama
jaringan Pod yang valid (misalnya,
networking.gke.io/network: blue-Pod-network), GKE akan menerapkan kebijakan ke Pod yang terhubung ke jaringan Pod tertentu tersebut. - Jika anotasi mereferensikan Pod-network yang sebenarnya tidak ada di cluster Anda, GKE tidak akan menerapkan kebijakan jaringan ke Pod mana pun. Hal ini karena tidak ada Pod yang terhubung ke jaringan yang tidak ada dan ditentukan.
- Mempertahankan komunikasi lintas jaringan untuk Pod dengan beberapa antarmuka jaringan: Jika Anda menerapkan kebijakan jaringan untuk membatasi traffic di jaringan Pod tertentu dalam Pod, hal itu tidak akan memengaruhi traffic di jaringan Pod lain yang terhubung ke Pod yang sama.
Manfaat
Berikut adalah manfaat menggunakan kebijakan jaringan multi-jaringan:
Peningkatan Keamanan: Anda dapat mengurangi risiko yang terkait dengan akses tidak sah dan pergerakan lateral dalam cluster GKE dengan menerapkan kebijakan jaringan pada tingkat perincian.
Fleksibilitas dan Penyesuaian: Anda dapat menyesuaikan kebijakan jaringan untuk memenuhi kebutuhan keamanan dan pengelolaan traffic tertentu untuk berbagai jaringan Pod dengan mengakomodasi beragam beban kerja dan aplikasi.
Pengelolaan Jaringan yang Disederhanakan: Anda dapat menghindari pembuatan jaringan Pod yang berlebihan dan memiliki kontrol yang lebih baik atas komunikasi dengan menggunakan kebijakan jaringan, menyederhanakan pengelolaan jaringan, dan mengurangi kompleksitas.
Pengoptimalan Biaya: Dengan menghindari kebutuhan untuk membuat banyak Pod-network, Anda dapat mengoptimalkan pemanfaatan resource dan mengurangi biaya yang terkait dengan infrastruktur jaringan.
Perlindungan yang Ditingkatkan untuk CNF: Anda dapat memastikan keamanan dan integritas deployment CNF dengan mengisolasi traffic bidang pengelolaan dan bidang data, serta dengan menerapkan kebijakan jaringan tertentu untuk setiap deployment.
Langkah berikutnya
Mengontrol alur traffic antara Pod dan Layanan di tingkat Pod