Halaman ini menjelaskan cara mengontrol aliran traffic jaringan antara Pod dan Layanan menggunakan aturan firewall di tingkat Pod.
Kebijakan jaringan untuk aplikasi membantu Anda menentukan aturan traffic komunikasi antar-Pod. Ini mengontrol cara Pod berkomunikasi satu sama lain dalam aplikasinya dan dengan endpoint eksternal. Anda dapat mengaktifkan kebijakan jaringan di jaringan Pod di cluster edisi Enterprise Google Kubernetes Engine (GKE) yang telah mengaktifkan multi-jaringan. Anda dapat menerapkan kebijakan jaringan pada antarmuka Pod tambahan yang sesuai dengan jaringan Pod yang ditentukan pengguna.
Alasan menggunakan kebijakan jaringan multi-jaringan
Anda mungkin ingin menggunakan kebijakan jaringan multi-jaringan dalam skenario berikut:
Keamanan jaringan yang ditingkatkan: Anda ingin mengisolasi dan melindungi workload atau data sensitif dengan menentukan kebijakan jaringan untuk jaringan Pod tertentu. Kebijakan jaringan multi-jaringan membatasi eksposur dan mengurangi bidang serangan.
Kontrol traffic terperinci: Anda ingin mendapatkan kontrol yang tepat terhadap alur traffic antara Pod dan Layanan di berbagai jaringan Pod, sehingga memungkinkan topologi jaringan dan persyaratan keamanan yang kompleks.
Lingkungan multi-tenant: Anda ingin membuat jaringan terisolasi untuk tenant atau aplikasi yang berbeda, memastikan jaringan tersebut tidak dapat mengganggu komunikasi satu sama lain, sekaligus mempertahankan kontrol atas akses jaringan dalam setiap jaringan Pod.
Mengoptimalkan pemanfaatan resource: Anda ingin menerapkan kebijakan jaringan di jaringan Pod tertentu untuk mengalokasikan resource secara efisien dan memprioritaskan traffic berdasarkan persyaratan aplikasi, sehingga meningkatkan performa dan keandalan.
Keamanan untuk Fungsi Jaringan dalam Container (CNF): Anda ingin memisahkan traffic pengelolaan dari traffic dataplane dalam Pod yang sama, sehingga mencegah potensi pelanggaran keamanan dan akses tidak sah.
Cara kerja kebijakan jaringan multi-jaringan dengan jaringan Pod
Diagram berikut menggambarkan cara kebijakan jaringan, yang diterapkan ke jaringan Pod tertentu menggunakan anotasi, mengontrol alur traffic antar-Pod dalam cluster GKE.
Diagram sebelumnya menunjukkan beberapa node pekerja yang menjalankan Pod (aplikasi dalam penampung) dan cara node tersebut berkomunikasi dalam node yang sama atau di seluruh node yang berbeda menggunakan infrastruktur jaringan. Contoh ini juga menggambarkan penggunaan kebijakan jaringan untuk mengontrol alur traffic dan segmentasi jaringan menggunakan VPC dan subnet untuk meningkatkan keamanan dan organisasi.
- Mengisolasi traffic dengan Kebijakan Jaringan yang ditargetkan: Kebijakan jaringan
hanya memengaruhi traffic di jaringan Pod "biru" karena anotasi
networking.gke.io/network: blue-Pod-network. Traffic di jaringan Pod default tetap tidak dibatasi. - Menerapkan traffic satu arah dengan kebijakan jaringan Pod: Pada diagram sebelumnya, kebijakan jaringan memungkinkan Pod1 mengirim traffic ke Pod2 di jaringan Pod "biru". Pod2 tidak dapat mengirim traffic kembali ke Pod1 di jaringan yang sama. Kebijakan jaringan untuk Pod berlabel 'test-app-2' berfungsi sebagai saluran satu arah. Secara khusus, kebijakan ini hanya mengizinkan traffic keluar ke Pod berlabel 'test-app-3', sehingga mencegah komunikasi dengan Pod lain seperti 'test-app-1'.
- Mengizinkan traffic keluar secara default: Jika tidak ada kebijakan keluar yang ditentukan untuk Pod (Pod1 dalam contoh ini), semua traffic keluar diizinkan secara default di antarmuka jaringan "biru".
- Memastikan kompatibilitas fitur yang ada: Semua opsi kebijakan jaringan GKE standar seperti pemilih label dan blok alamat IP berfungsi dengan kebijakan jaringan multi-jaringan.
- Mengontrol cakupan kebijakan jaringan dengan anotasi:
- Jika Anda membuat kebijakan jaringan tanpa anotasi, GKE akan menerapkan kebijakan jaringan multi-jaringan ke semua antarmuka jaringan di Pod dalam namespace yang dipilih, terlepas dari jaringan Pod mana yang terhubung.
- Jika Anda menyertakan anotasi dan menentukan nama jaringan Pod yang valid (misalnya,
networking.gke.io/network: blue-Pod-network), GKE akan menerapkan kebijakan ke Pod yang terhubung ke jaringan Pod tertentu tersebut. - Jika anotasi mereferensikan jaringan Pod yang sebenarnya tidak ada di cluster Anda, GKE tidak akan menerapkan kebijakan jaringan ke Pod apa pun. Hal ini karena tidak ada Pod yang terhubung ke jaringan yang ditentukan dan tidak ada.
- Mempertahankan komunikasi lintas jaringan untuk Pod dengan beberapa antarmuka jaringan: Jika Anda menerapkan kebijakan jaringan untuk membatasi traffic di jaringan Pod tertentu dalam Pod, kebijakan tersebut tidak akan memengaruhi traffic di jaringan Pod lain yang terhubung ke Pod yang sama.
Manfaat
Berikut adalah manfaat penggunaan kebijakan jaringan multi-jaringan:
Keamanan yang Ditingkatkan: Anda dapat memitigasi risiko yang terkait dengan akses tanpa izin dan pergerakan lateral dalam cluster GKE dengan menerapkan kebijakan jaringan di tingkat terperinci.
Fleksibilitas dan Penyesuaian: Anda dapat menyesuaikan kebijakan jaringan untuk memenuhi kebutuhan keamanan dan pengelolaan traffic tertentu untuk berbagai jaringan Pod dengan mengakomodasi berbagai beban kerja dan aplikasi.
Pengelolaan Jaringan yang Disederhanakan: Anda dapat menghindari pembuatan jaringan Pod yang berlebihan dan memiliki kontrol yang terperinci atas komunikasi dengan menggunakan kebijakan jaringan, menyederhanakan pengelolaan jaringan, dan mengurangi kompleksitas.
Pengoptimalan Biaya: Dengan menghindari kebutuhan untuk membuat banyak jaringan Pod, Anda dapat mengoptimalkan penggunaan resource dan mengurangi biaya yang terkait dengan infrastruktur jaringan.
Perlindungan yang Disempurnakan untuk CNF: Anda dapat memastikan keamanan dan integritas deployment CNF dengan mengisolasi traffic pengelolaan dan dataplane, serta dengan menerapkan kebijakan jaringan tertentu ke setiap deployment.
Langkah selanjutnya
Mengontrol alur traffic antara Pod dan Layanan di tingkat Pod