マルチネットワークネットワークポリシーを設定する

Standard

このページでは、指定された Pod ネットワークにのみ適用されるマルチネットワークネットワークポリシーを構成して、クラスタ内のネットワークセキュリティとトラフィック制御を強化する方法について説明します。これらのマルチネットワークネットワークポリシーは、Pod レベルのファイアウォールルールを使用してトラフィックを制御し、Pod と Service 間のトラフィックフローを制御します。

マルチネットワークネットワークポリシーの仕組みについては、Pod ネットワークでのネットワークポリシーの仕組みをご覧ください。

要件

マルチネットワークネットワークポリシーを使用するには、次の要件を考慮してください。

Google Cloud CLI バージョン 459 以降が必要です。
次のいずれかのバージョンを実行している GKE クラスタが必要です。
- 1.28.5-gke.1293000 以降
- 1.29.0-gke.1484000 以降
クラスタで GKE Dataplane V2 を使用する必要があります。

制限事項

FQDN ネットワークポリシーと CiliumClusterWide ネットワークポリシーはサポートされていません。複数のネットワークに接続されている Pod で FQDN ネットワークポリシーと CiliumClusterWide ネットワークポリシーを使用する場合、ポリシーはポリシーが適用されていない接続を含む、Pod のすべての接続に影響します。

マルチネットワークネットワークポリシーを構成する

マルチネットワークネットワークポリシーを使用する手順は次のとおりです。

マルチネットワーク対応の GKE を使用してクラスタを作成します。
ノードプールと Pod ネットワークを作成します。
Pod ネットワークを参照します。
ワークロードで使用される同じ Pod ネットワークを参照するネットワークポリシーを作成して適用します。

始める前に

作業を始める前に、次のタスクを完了済みであることを確認してください。

Google Kubernetes Engine API を有効にする。

Google Kubernetes Engine API の有効化

このタスクに Google Cloud CLI を使用する場合は、gcloud CLI をインストールして初期化する。すでに gcloud CLI をインストールしている場合は、gcloud components update を実行して最新のバージョンを取得する。
注: gcloud CLI がすでにインストールされている場合には、必ず compute/region プロパティを設定してください。主にゾーンクラスタを使用する場合は、代わりに compute/zone を設定します。デフォルトのロケーションを設定することで、gcloud CLI のエラー（One of [--zone, --region] must be supplied: Please specify location など）を防止できます。クラスタのロケーションが設定したデフォルトと異なる場合は、特定のコマンドでロケーションの指定が必要になることがあります。

ネットワークポリシーを作成する

ワークロードと同じ Pod ネットワークにルールを適用するネットワークポリシーを作成するには、ネットワークポリシー定義で特定の Pod ネットワークを参照します。

選択した上り（内向き）トラフィックルールと、ラベルやその他のセレクタに基づくターゲット Pod を定義するには、標準のネットワークポリシーを作成します。

次のサンプルマニフェストを sample-ingress-network-policy1.yaml として保存します。

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: sample-network-policy
  namespace: default
  annotations:
    networking.gke.io/network: blue-pod-network  # GKE-specific annotation for network selection
spec:
  podSelector:
    matchLabels:
      app: test-app-2  # Selects pods with the label "app: test-app-2"
  policyTypes:
  - Ingress  # Specifies the policy applies only to incoming traffic
  ingress:
  - from:  # Allow incoming traffic only from...
    - podSelector:
        matchLabels:
          app: test-app-1  # ...pods with the label "app: test-app-1"

sample-ingress-network-policy1.yaml マニフェストを適用します。
```
kubectl apply -f sample-ingress-network-policy1.yaml
```

ラベルやその他のセレクタに基づいて選択した下り（外向き）トラフィックルールとターゲット Pod を定義するには、標準のネットワークポリシーを作成します。

次のサンプルマニフェストを sample-egress-network-policy2.yaml として保存します。

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: sample-network-policy-2
  namespace: default
  annotations:
    networking.gke.io/network: blue-pod-network  # GKE-specific annotation (optional)
spec:
  podSelector:
    matchLabels:
      app: test-app-2
  policyTypes:
    - Egress  # Only applies to outgoing traffic
  egress:
    - to:
        - podSelector:
            matchLabels:
              app: test-app-3

sample-egress-network-policy2.yaml マニフェストを適用します。
```
kubectl apply -f sample-egress-network-policy2.yaml
```

マルチネットワークネットワークポリシーのトラブルシューティング

ネットワークポリシーに問題がある場合（特定の Pod ネットワークに適用されているかどうかを問わず）は、次のコマンドを実行して問題を診断し、トラブルシューティングを行うことができます。

kubectl get networkpolicy: すべてのネットワークポリシーオブジェクトとそれらに関する情報を一覧表示します。
iptables-save: 特定ノードのすべての IP アドレステーブルチェーンを取得して一覧表示します。このコマンドは、ノードで root として実行する必要があります。
cilium bpf policy get <endpoint-id>: 各エンドポイントのポリシーマップから許可された IP アドレスを取得して一覧表示します。
cilium policy selectors: ID と、それらを選択した関連ポリシーを出力します。
cilium identity list: ID から IP アドレスへのマッピングを示します。

次のステップ

マルチネットワークネットワークポリシーについてを確認する
Pod のマルチネットワークサポートを設定するを確認する

マルチネットワーク ネットワーク ポリシーを設定する コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。

要件