Controlla la comunicazione a livello di cluster utilizzando i criteri di rete

Questa pagina spiega come configurare i criteri di rete a livello di cluster per Google Kubernetes Engine (GKE).

I criteri di rete e i criteri di rete FQDN aiutano a definire le regole del traffico di comunicazione tra i pod. I criteri di rete controllano il modo in cui i pod comunicano tra loro all'interno delle applicazioni e con gli endpoint esterni.

In qualità di amministratore del cluster, puoi configurare i criteri di rete a livello di cluster (CCNP) Cilium per superare le limitazioni dei criteri di rete per la gestione del traffico amministrativo a livello di cluster. I criteri di rete Cilium a livello di cluster applicano regole di rete rigide per tutti i carichi di lavoro nell'intero cluster, negli spazi dei nomi, sostituendo qualsiasi regola specifica per le applicazioni.

Il criterio di rete Cilium a livello di cluster per GKE è una risorsa CustomResourceDefinition (CRD) con ambito cluster che specifica i criteri applicati da GKE. Abilitando il criterio di rete Cilium a livello di cluster in GKE, puoi gestire centralmente le regole di rete per l'intero cluster. Puoi controllare l'accesso di base di livello 3 (a livello di IP) e di livello 4 (a livello di porta) per il traffico in entrata e in uscita dal cluster.

Vantaggi

Con il criterio di rete a livello di cluster Cilium puoi:

• Applicazione della sicurezza centralizzata: con CCNP puoi definire regole di accesso alla rete da applicare all'intera rete. Queste regole CCNP fungono da livello di sicurezza di primo livello, sostituendo eventuali criteri potenzialmente in conflitto a livello di spazio dei nomi.
• Proteggi la multitenancy: se il cluster ospita più team o tenant, puoi proteggere l'isolamento all'interno di un cluster condiviso implementando le regole CCNP, incentrate sul controllo del traffico di rete. Puoi applicare la separazione a livello di rete assegnando spazi dei nomi o gruppi di spazi dei nomi a team specifici.
• Definizione di criteri predefiniti flessibili: con CCNP puoi definire regole di rete predefinite per l'intero cluster. Puoi personalizzare queste regole quando necessario senza compromettere la sicurezza generale del cluster.

Per implementare CCNP, abilita GKE Dataplane V2 sul tuo cluster. Assicurati che la CRD CCNP sia abilitata, quindi crea criteri che definiscono le regole di accesso alla rete per il tuo cluster.

Prima di iniziare

Prima di iniziare, assicurati di aver eseguito le seguenti attività:

• Abilita l'API Google Kubernetes Engine.
Abilita l'API Google Kubernetes Engine
• Se vuoi utilizzare Google Cloud CLI per questa attività, installa e initialize gcloud CLI. Se hai già installato gcloud CLI, scarica la versione più recente eseguendo gcloud components update.

Requisiti

I criteri di rete a livello di cluster Cilium hanno i seguenti requisiti:

• Google Cloud CLI versione 465.0.0 o successive.
• Devi avere un cluster GKE che esegue una delle seguenti versioni:
  • 1.28.6-gke.1095000 o versioni successive
  • 1.29.1-gke.1016000 o versioni successive
• Il cluster deve utilizzare GKE Dataplane V2.
• Devi abilitare il criterio di rete a livello di cluster Cilium CRD.

Limitazioni

I criteri di rete a livello di cluster Cilium presentano le seguenti limitazioni:

• I criteri di livello 7 non sono supportati.
• I selettori dei nodi non sono supportati.
• Il numero massimo di CiliumClusterwideNetworkPolicy per cluster è 1000.

Abilita il criterio di rete a livello di cluster Cilium in un nuovo cluster

Puoi abilitare il criterio di rete a livello di cluster Cilium in un nuovo cluster utilizzando Google Cloud CLI o l'API Google Kubernetes Engine.

gcloud container clusters create-auto CLUSTER_NAME \
    --location COMPUTE_LOCATION \
    --enable-cilium-clusterwide-network-policy

gcloud container clusters create CLUSTER_NAME \
    --location COMPUTE_LOCATION \
    --enable-cilium-clusterwide-network-policy \
    --enable-dataplane-v2

{
  "cluster": {
    ...
    "networkConfig": {
      "datapathProvider": "ADVANCED_DATAPATH",
      "enableCiliumClusterwideNetworkPolicy": true
    }
  }
}

Verifica che ciliumclusterwidenetworkpolicies.cilium.io sia presente nell'output del seguente comando:

kubectl get crds ciliumclusterwidenetworkpolicies.cilium.io

L'output dovrebbe essere simile al seguente:

ciliumclusterwidenetworkpolicies.cilium.io     2023-09-19T16:54:48Z

Abilita il criterio di rete a livello di cluster Cilium in un cluster esistente

Puoi abilitare il criterio di rete a livello di cluster Cilium in un cluster esistente utilizzando Google Cloud CLI o l'API Google Kubernetes Engine.

{
  "update": {
    "desiredEnableCiliumClusterwideNetworkPolicy": true
  },
  "name": "cluster"
}
To update an existing cluster, run the following update cluster command:
{
  "update": {
    "desiredEnableCiliumClusterwideNetworkPolicy": true
  }
  "name": "cluster"
}

Verifica che ciliumclusterwidenetworkpolicies.cilium.io sia presente nell'output del seguente comando:

kubectl get crds ciliumclusterwidenetworkpolicies.cilium.io

L'output dovrebbe essere simile al seguente:

ciliumclusterwidenetworkpolicies.cilium.io     2023-09-19T16:54:48Z

Utilizzo del criterio di rete Cilium a livello di cluster

Questa sezione elenca esempi per la configurazione di criteri di rete Cilium a livello di cluster.

Esempio 1: controllare il traffico in entrata verso un carico di lavoro

L'esempio seguente consente a tutti gli endpoint con l'etichetta role=backend di accettare connessioni in entrata sulla porta 80 dagli endpoint con l'etichetta role=frontend. Gli endpoint con l'etichetta role=backend rifiuteranno tutte le connessioni in entrata non consentite da questo criterio.

1. Salva il seguente manifest come l4-rule-ingress.yaml:

   apiVersion: "cilium.io/v2"
   kind: CiliumClusterwideNetworkPolicy
   metadata:
     name: "l4-rule-ingress"
   spec:
     endpointSelector:
       matchLabels:
         role: backend
     ingress:
       - fromEndpoints:
           - matchLabels:
               role: frontend
         toPorts:
           - ports:
               - port: "80"
                 protocol: TCP
   

2. Applica il manifest:

   kubectl apply -f l4-rule-ingress.yaml
   

Esempio 2: limitare il traffico in uscita da un carico di lavoro su una determinata porta

La seguente regola limita tutti gli endpoint con l'etichetta app=myService in modo che possano emettere solo pacchetti utilizzando TCP sulla porta 80, verso qualsiasi destinazione di livello 3:

1. Salva il seguente manifest come l4-rule-egress.yaml:

   apiVersion: "cilium.io/v2"
   kind: CiliumClusterwideNetworkPolicy
   metadata:
     name: "l4-rule-egress"
   spec:
     endpointSelector:
       matchLabels:
         app: myService
     egress:
       - toPorts:
           - ports:
               - port: "80"
                 protocol: TCP
   

2. Applica il manifest:

   kubectl apply -f l4-rule-egress.yaml
   

Esempio 3: limitare il traffico in uscita da un carico di lavoro su una determinata porta e CIDR

L'esempio seguente limita tutti gli endpoint con l'etichetta role=crawler a poter inviare pacchetti sulla porta 80, protocolli TCP, a un CIDR di destinazione 192.10.2.0/24.

1. Salva il seguente manifest come cidr-l4-rule.yaml:

    apiVersion: "cilium.io/v2"
    kind: CiliumClusterwideNetworkPolicy
    metadata:
      name: "cidr-l4-rule"
    spec:
      endpointSelector:
        matchLabels:
          role: crawler
      egress:
        - toCIDR:
            - 192.0.2.0/24
          toPorts:
            - ports:
                - port: "80"
                  protocol: TCP
   

2. Applica il manifest:

   kubectl apply -f cidr-l4-rule.yaml
   

Monitoraggio e risoluzione dei problemi relativi al traffico di rete

Puoi monitorare e risolvere i problemi relativi al traffico di rete interessato dai criteri di rete a livello di cluster Cilium mediante il logging dei criteri di rete e l'osservabilità di GKE Dataplane V2.

Tentare di utilizzare i criteri di livello 7 o i selettori dei nodi

Sintomo

Se utilizzi GKE con GKE Dataplane V2 e cerchi di definire criteri CCNP che includono regole di livello 7 (ad esempio filtro HTTP) e selettori di nodi, potresti visualizzare un messaggio di errore simile al seguente:

Errore

Error from server (GKE Warden constraints violations): error when creating
"ccnp.yaml": admission webhook
"warden-validating.common-webhooks.networking.gke.io" denied the request: GKE
Warden rejected the request because it violates one or more constraints.
Violations details: {"[denied by gke-cilium-network-policy-limitation]":["L7
rules are not allowed in CiliumClusterwideNetworkPolicy"]} Requested by user:
'user@example.com', groups: 'system:authenticated'.

Potenziale causa

GKE ha limitazioni specifiche sui CCNP. I criteri di livello 7, che consentono l'applicazione di filtri in base ai dati a livello di applicazione (come le intestazioni HTTP), e i selettori dei nodi non sono supportati nell'integrazione di GKE con Cilium.

Risoluzione

Se hai bisogno di funzionalità di filtro di livello 7 avanzate nel tuo cluster GKE, valuta l'utilizzo di Anthos Service Mesh. Ciò fornisce un controllo più granulare del traffico a livello di applicazione.

Criterio di rete a livello di cluster Cilium non abilitato

Sintomo

Quando provi a configurare i criteri di rete a livello di cluster (CCNP) Cilium in un cluster in cui la funzionalità non è stata abilitata esplicitamente, non potrai configurarla e potresti visualizzare un messaggio di errore simile al seguente:

Errore

error: resource mapping not found for name: "l4-rule" namespace: "" from
"ccnp.yaml": no matches for kind "CiliumClusterwideNetworkPolicy" in version
"cilium.io/v2" ensure CRDs are installed first

Potenziale causa

I criteri di rete a livello di cluster Cilium si basano su una definizione di risorse personalizzate (CRD). Il messaggio di errore indica che il CRD non è presente nel cluster.

Risoluzione

Abilita il criterio di rete a livello di cluster Cilium prima di utilizzare i CCNP.

Passaggi successivi

• Leggi la documentazione di Kubernetes sui criteri di rete

• Leggi CiliumClusterwideNetworkPolicy

• Configurare i criteri di rete per le applicazioni