Questa pagina spiega come controllare il flusso di traffico di rete tra i pod e Servizi che utilizzano regole firewall a livello di pod.
Criteri di rete per applicazioni aiutano a definire e regole per il traffico delle comunicazioni tra i pod. Controlla il modo in cui i pod comunicano tra loro all'interno delle loro applicazioni e con endpoint esterni. Puoi attivare criterio di rete sulle reti di pod nei cluster della versione Google Kubernetes Engine (GKE) Enterprise con più reti abilitate. Puoi applicare criteri di rete su pod aggiuntivi che corrispondono alle reti di pod specificate dall'utente.
Perché utilizzare i criteri relativi a più reti
Potresti voler utilizzare i criteri di rete di più reti nelle seguenti scenari aggiuntivi:
Sicurezza di rete avanzata: vuoi isolare e proteggere a carichi di lavoro o dati sensibili definendo criteri di rete per reti di pod. I criteri di rete multi-networking limitano l'esposizione e riducono la superficie di attacco.
Controllo granulare del traffico: vuoi ottenere un controllo preciso sul flusso di traffico tra pod e servizi su reti di pod diverse, consentendo topologie di rete complesse e requisiti di sicurezza.
Ambienti multi-tenant: vuoi creare reti isolate per tenant o applicazioni diversi, assicurandoti che non possano interferire con la comunicazione tra di loro, mantenendo al contempo il controllo sull'accesso alla rete all'interno di ogni rete del pod.
Ottimizzare l'utilizzo delle risorse: vuoi implementare criteri di rete su reti di pod specifiche per allocare in modo efficiente le risorse e dare la priorità al traffico in base ai requisiti dell'applicazione, migliorando le prestazioni e l'affidabilità.
Sicurezza per le funzioni di rete containerizzate (CNF): vuoi segrega il traffico di gestione da quello del piano dati all'interno dello stesso pod evitando potenziali violazioni della sicurezza e accessi non autorizzati.
Come funzionano i criteri di rete multi-network con le reti di pod
Il seguente diagramma illustra in che modo i criteri di rete, applicati a reti di pod specifiche utilizzando le annotazioni, controllano il flusso di traffico tra i pod all'interno di un cluster GKE.
Il diagramma precedente mostra più nodi worker che eseguono pod (applicazioni containerizzate) e come comunicano all'interno dello stesso nodo o tra nodi diversi utilizzando l'infrastruttura di rete. Illustra inoltre l'utilizzo dei criteri di rete per controllare il flusso di traffico e la segmentazione della rete utilizzando VPC e subnet per una maggiore sicurezza e organizzazione.
- Isola il traffico con criteri di rete mirati: i criteri di rete influiscono sul traffico solo sulla rete del pod "blu" a causa dell'annotazione
networking.gke.io/network: blue-Pod-network. Traffico per l'impostazione predefinita La rete di pod rimane senza restrizioni. - Applica il traffico unidirezionale con i criteri della rete di pod: nella precedente i criteri di rete consentono a Pod1 di inviare traffico al pod2 sulla rete "blu" di pod. Il pod2 non può inviare il traffico al pod1 sulla stessa rete. La criterio di rete per i pod con etichetta "test-app-2" funziona come un canale a senso unico. Consente nello specifico il traffico in uscita solo verso i pod etichettati "test-app-3", impedendo la comunicazione con altri pod come "test-app-1".
- Consenti il traffico in uscita per impostazione predefinita: se non viene definito alcun criterio in uscita per un (Pod1 in questo esempio), tutto il traffico in uscita è consentito da per impostazione predefinita sul "blu" interfaccia di rete.
- Garantisce la compatibilità delle funzionalità esistenti: tutti i formati GKE standard le opzioni dei criteri di rete, come i selettori di etichette e i blocchi degli indirizzi IP, criteri di rete multirete.
- Controlla l'ambito dei criteri di rete con le annotazioni:
- Se crei un criterio di rete senza annotazione, GKE applica i criteri di rete multi-rete a tutte le interfacce di rete dei pod nello spazio dei nomi selezionato, indipendentemente alle reti a cui sono connessi.
- Se includi l'annotazione e specifichi il nome di una rete di pod valida (ad esempio
networking.gke.io/network: blue-Pod-network), GKE applica il criterio ai pod connessi a quella rete di pod specifica. - Se l'annotazione fa riferimento a una rete di pod che in realtà non esiste nel tuo cluster, GKE non applica il criterio di rete a qualsiasi pod. Questo accade perché nessun pod è connesso alla rete non esistente specificata.
- Mantiene la comunicazione tra reti per i pod con più interfacce di rete: se applichi un criterio di rete per limitare il traffico su una rete del pod specifica all'interno di un pod, il traffico sulle altre reti del pod collegate allo stesso pod non verrà interessato.
Vantaggi
Di seguito sono riportati i vantaggi dell'utilizzo dei criteri di rete multi-rete:
Maggiore sicurezza: puoi ridurre i rischi associati a utilizzi non autorizzati. l'accesso e lo spostamento laterale all'interno del cluster GKE l'applicazione dei criteri di rete a un livello granulare.
Flessibilità e personalizzazione: puoi personalizzare i criteri di rete in base alle tue esigenze specifiche di sicurezza e gestione del traffico per reti di pod diverse, adattandoti a carichi di lavoro e applicazioni diversi.
Gestione semplificata della rete: puoi evitare di crearne eccessivamente reti di pod e avere un controllo granulare sulla comunicazione criteri di rete, semplificando la gestione della rete e riducendo la complessità.
Ottimizzazione dei costi: evitando di creare numerose reti di pod, puoi ottimizzare l'utilizzo delle risorse e ridurre i costi associati dell'infrastruttura di rete.
Protezione avanzata per i CNF: puoi garantire la sicurezza e l'integrità delle implementazioni CNF isolando il traffico di gestione e piano dati, e applicando criteri di rete specifici a ogni deployment.
Passaggi successivi
Controlla il flusso di traffico tra pod e servizi a livello di pod