Questa pagina è stata tradotta dall'API Cloud Translation.

Configurare i criteri di rete multi-rete

Standard

Questa pagina spiega come migliorare la sicurezza di rete e il controllo del traffico all'interno del cluster configurando criteri di rete multi-rete che si applicano specificamente a una rete di pod designata. Questi criteri di rete multirete controllano il traffico utilizzando regole firewall a livello di pod e controllano il flusso di traffico tra pod e servizi.

Per capire come funzionano i criteri di rete multirete, vedi come funzionano i criteri di rete con le reti di pod.

Requisiti

Per utilizzare le norme di rete multirete, tieni presente i seguenti requisiti:

Google Cloud CLI versione 459 e successive.
Devi avere un cluster GKE che esegue una delle seguenti versioni:
- 1.28.5-gke.1293000 o versioni successive
- 1.29.0-gke.1484000 o versioni successive
Il cluster deve utilizzare GKE Dataplane V2.

Limitazioni

Le policy di rete FQDN e CiliumClusterWide non sono supportate: Se utilizzi una policy di rete FQDN e una policy di rete CiliumClusterWide su un pod connesso a più reti, le policy influiscono su tutte le connessioni del pod, incluse quelle in cui le policy non vengono applicate.

Configura i criteri di rete multirete

Per utilizzare i criteri di rete multirete:

Crea un cluster con GKE abilitato per più reti .
Crea un node pool e una rete di pod.
Fai riferimento alla rete di pod.
Crea una policy di rete da applicare che faccia riferimento alla stessa rete di pod utilizzata dal carico di lavoro.

Prima di iniziare

Prima di iniziare, assicurati di aver eseguito le seguenti operazioni:

Attiva l'API Google Kubernetes Engine.

Attiva l'API Google Kubernetes Engine

Se vuoi utilizzare Google Cloud CLI per questa attività, installala e poi inizializza gcloud CLI. Se hai già installato gcloud CLI, scarica l'ultima versione eseguendo gcloud components update.
Nota:per le installazioni esistenti di gcloud CLI, assicurati di impostare la compute/region proprietà. Se utilizzi principalmente cluster zonali, imposta compute/zone. Se imposti una località predefinita, puoi evitare errori in gcloud CLI come il seguente: One of [--zone, --region] must be supplied: Please specify location. Potresti dover specificare la posizione in determinati comandi se la posizione del cluster è diversa da quella predefinita che hai impostato.

Crea criterio di rete

Per creare una policy di rete che applichi regole alla stessa rete di pod del tuo carico di lavoro, fai riferimento alla rete di pod specifica nella definizione della policy di rete.

Per definire le regole di traffico in entrata selezionate e i pod di destinazione in base alle etichette o ad altri selettori, crea un criterio di rete standard.

Salva il seguente manifest di esempio come sample-ingress-network-policy1.yaml:

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: sample-network-policy
  namespace: default
  annotations:
    networking.gke.io/network: blue-pod-network  # GKE-specific annotation for network selection
spec:
  podSelector:
    matchLabels:
      app: test-app-2  # Selects pods with the label "app: test-app-2"
  policyTypes:
  - Ingress  # Specifies the policy applies only to incoming traffic
  ingress:
  - from:  # Allow incoming traffic only from...
    - podSelector:
        matchLabels:
          app: test-app-1  # ...pods with the label "app: test-app-1"

Applica il manifest sample-ingress-network-policy1.yaml:

kubectl apply -f sample-ingress-network-policy1.yaml

Per definire le regole di traffico in uscita selezionate e i pod di destinazione in base alle etichette o ad altri selettori, crea un criterio di rete standard.

Salva il seguente manifest di esempio come sample-egress-network-policy2.yaml:

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: sample-network-policy-2
  namespace: default
  annotations:
    networking.gke.io/network: blue-pod-network  # GKE-specific annotation (optional)
spec:
  podSelector:
    matchLabels:
      app: test-app-2
  policyTypes:
    - Egress  # Only applies to outgoing traffic
  egress:
    - to:
        - podSelector:
            matchLabels:
              app: test-app-3

Applica il manifest sample-egress-network-policy2.yaml:

kubectl apply -f sample-egress-network-policy2.yaml

Risolvere i problemi relativi ai criteri di rete multirete

Se riscontri problemi con i criteri di rete, indipendentemente dal fatto che vengano applicati a reti di pod specifiche o meno, puoi diagnosticare e risolvere il problema eseguendo i seguenti comandi:

kubectl get networkpolicy: elenca tutti gli oggetti policy di rete e le relative informazioni.
iptables-save: recupera ed elenca tutte le catene di tabelle di indirizzi IP per un nodo specifico. Devi eseguire questo comando sul nodo come root.
cilium bpf policy get <endpoint-id>: recupera ed elenca gli indirizzi IP consentiti dalla mappa dei criteri di ogni endpoint.
cilium policy selectors: stampa le identità e le norme associate che le hanno selezionate.
cilium identity list: mostra i mapping dall'identità all'indirizzo IP.