Questa pagina è stata tradotta dall'API Cloud Translation.

Configura criteri di rete su più reti

Standard

Questa pagina spiega come controllare il flusso di traffico tra pod e servizi a livello di pod configurando criteri di rete multi-rete che si applicano specificamente a una rete di pod designata.

In qualità di amministratore del cluster, puoi configurare criteri di rete su più reti per controllare il flusso di traffico tra i pod e i servizi utilizzando le regole firewall A livello di pod. Puoi migliorare la sicurezza di rete e il controllo del traffico all'interno del tuo cluster.

Per capire come funzionano i criteri di rete su più reti, consulta Come funzionano le reti Norme lavoro con le reti di pod.

Requisiti

Per utilizzare i criteri di rete con più reti, considera i seguenti requisiti:

Google Cloud CLI versione 459 e successive.
Devi disporre di un cluster GKE che esegue una delle seguenti versioni:
- 1.28.5-gke.1293000 o versioni successive
- 1.29.0-gke.1484000 o versioni successive
Il cluster deve utilizzare GKE Dataplane V2.

Limitazioni

Il criterio di rete FQDN e il criterio di rete CiliumClusterWide non sono supportati: Se utilizzi il criterio di rete FQDN e il criterio di rete CiliumClusterWide su un pod connesso a più reti, il criterio influisce su tutte le connessioni del pod e non solo quelle a cui vengono applicate le norme.

Prezzi

Sono supportate le seguenti funzionalità NFO (Network Function Optimizer) solo sui cluster che si trovano in progetti abilitati con GKE Enterprise

Supporto di più reti per i pod
Supporto degli indirizzi IP permanenti per i pod (anteprima)
Criteri di rete multirete (anteprima)
Supporto del Reindirizzamento servizio per i pod (anteprima)

Per comprendere le tariffe applicate per l'abilitazione della versione Google Kubernetes Engine (GKE) Enterprise, consulta Prezzi di GKE Enterprise.

Configura criteri di rete su più reti

Per utilizzare i criteri di rete multi-rete:

Crea un cluster con GKE abilitato per più reti .
Crea un pool di nodi e una rete di pod.
Fai riferimento alla rete di pod.
Crea un criterio di rete da applicare che faccia riferimento alla stessa rete del pod utilizzata dal carico di lavoro.

Prima di iniziare

Prima di iniziare, assicurati di aver eseguito le seguenti operazioni:

Attiva l'API Google Kubernetes Engine.

Attiva l'API Google Kubernetes Engine

Se vuoi utilizzare Google Cloud CLI per questa attività, install e poi inizializzare con gcloud CLI. Se hai già installato gcloud CLI, ottieni la versione più recente eseguendo gcloud components update.
Nota: per gcloud CLI esistente di installazione, assicurati di impostare compute/region e compute/zone proprietà. Se imposti località predefinite, puoi evitare errori in gcloud CLI come i seguenti: One of [--zone, --region] must be supplied: Please specify location.

Abilita GKE Enterprise.

Crea criterio di rete

Per creare un criterio di rete che applichi regole sulla stessa rete di pod del tuo carico di lavoro, fai riferimento alla rete di pod specifica nella definizione del criterio di rete.

definire le regole del traffico in entrata e i pod di destinazione selezionati in base alle etichette. o altri selettori, crea un criterio di rete standard.

Salva il seguente manifest di esempio come sample-ingress-network-policy1.yaml:

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: sample-network-policy
  namespace: default
  annotations:
    networking.gke.io/network: blue-pod-network  # GKE-specific annotation for network selection
spec:
  podSelector:
    matchLabels:
      app: test-app-2  # Selects pods with the label "app: test-app-2"
  policyTypes:
  - Ingress  # Specifies the policy applies only to incoming traffic
  ingress:
  - from:  # Allow incoming traffic only from...
    - podSelector:
        matchLabels:
          app: test-app-1  # ...pods with the label "app: test-app-1"

Applica il manifest sample-ingress-network-policy1.yaml:

kubectl apply -f sample-ingress-network-policy1.yaml

Per definire le regole del traffico in uscita selezionate e i pod di destinazione in base alle etichette o ad altri selettori, crea un criterio di rete standard.

Salva il seguente manifest di esempio come sample-egress-network-policy2.yaml:

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: sample-network-policy-2
  namespace: default
  annotations:
    networking.gke.io/network: blue-pod-network  # GKE-specific annotation (optional)
spec:
  podSelector:
    matchLabels:
      app: test-app-2
  policyTypes:
    - Egress  # Only applies to outgoing traffic
  egress:
    - to:
        - podSelector:
            matchLabels:
              app: test-app-3

Applica il manifest sample-egress-network-policy2.yaml:

kubectl apply -f sample-egress-network-policy2.yaml

Risolvere i problemi relativi ai criteri di rete multi-rete

In caso di problemi con i criteri di rete, se vengono applicati specifiche o meno, puoi diagnosticare e risolvere il problema eseguendo questi comandi:

kubectl get networkpolicy: elenca tutti gli oggetti dei criteri di rete e informazioni che li riguardano.
iptables-save: recupera ed elenca tutte le catene di tabelle di indirizzi IP per un di un nodo specifico. Devi eseguire questo comando sul nodo come utente root.
cilium bpf policy get <endpoint-id>: recupera ed elenca gli IP consentiti indirizzi IP dalla mappa dei criteri di ciascun endpoint.
cilium policy selectors: stampa il identità e i criteri associati che li hanno selezionati.
cilium identity list: mostra le mappature dall'identità all'indirizzo IP.

Passaggi successivi

Leggi l'articolo Informazioni sui criteri di rete multirete
Leggi l'articolo Configurare il supporto di più reti per i pod