Menyiapkan kebijakan jaringan

Kf terintegrasi erat dengan Kubernetes dan Istio untuk menyediakan penerapan kebijakan jaringan yang andal.

Secara default, beban kerja Kf dijalankan di cluster Kubernetes dan menyelesaikan alamat menggunakan DNS Kubernetes. DNS resolver ini pertama-tama akan mencoba me-resolve alamat dalam cluster, dan hanya jika tidak ada yang ditemukan akan melakukan resolusi eksternal.

Setiap Aplikasi Kf dijalankan dengan sidecar Envoy yang dimasukkan oleh Istio atau Anthos Service Mesh (ASM). File bantuan ini menjadi proxy semua traffic jaringan di dalam dan di luar Pod Kubernetes.

Setiap Pod Kubernetes dijalankan di Node, yaitu mesin fisik atau virtual machine yang bertanggung jawab untuk mengelola image container yang membentuk Pod. {i>Node<i} ada pada jaringan fisik atau virtual.

Bersama-sama, ini membentuk hierarki sistem yang dapat Anda terapkan kebijakan jaringan. Metrik tersebut tercantum di bawah ini dari yang paling tidak terperinci hingga yang paling terperinci.

Kebijakan tingkat jaringan

Perlindungan workload dimulai dengan jaringan tempat cluster GKE Anda diinstal.

Jika Anda menjalankan Kf di cluster GKE di GCP, Kf merekomendasikan:

Kebijakan level node

Anda dapat menyiapkan kebijakan untuk container yang berjalan di Node menggunakan Kubernetes NetworkPolicies. Ini adalah pemetaan terdekat dengan kebijakan jaringan Cloud Foundry yang ada di Kubernetes.

NetworkPolicy didukung oleh add-on Kubernetes. Jika menyiapkan cluster GKE sendiri, Anda harus mengaktifkan penerapan NetworkPolicy.

Kf melabeli Aplikasi dengan kf.dev/networkpolicy=app dan dibuat dengan kf.dev/networkpolicy=build. Dengan begitu, Anda dapat menargetkan NetworkPolicies langsung di Pod yang menjalankan Aplikasi atau Build.

Setiap Kf Space membuat dua NetworkPolicy sebagai permulaan, satu menargetkan Aplikasi dan satu yang menargetkan Build. Anda dapat mengubah konfigurasi di kolom spec.networkConfig.(app|build)NetworkPolicy.(in|e)gress Ruang. Kolom ini dapat ditetapkan ke salah satu nilai berikut:

Nilai Enum Deskripsi
PermitAll Mengizinkan semua traffic.
DenyAll Menolak semua traffic.

Secara default, Kf menggunakan kebijakan jaringan permisif. Hal ini memungkinkan fungsi berikut yang digunakan Kf:

  • Perutean Utara/Selatan ke gateway masuk cluster
  • Traffic keluar ke Internet, mis. untuk mengambil Buildpacks
  • Perutean Timur/Barat antar-Aplikasi
  • Akses ke server DNS Kubernetes
  • Akses ke registry container
  • Akses langsung ke jaringan VPC
  • Akses ke layanan Google seperti Cloud Logging
  • Akses ke server Workload Identity untuk rotasi kredensial otomatis

Kebijakan mesh layanan

Jika memerlukan kontrol, autentikasi, otorisasi, dan kemampuan observasi jaringan yang sangat detail, Anda dapat menerapkan kebijakan menggunakan Anthos Service Mesh.

Mesh layanan adalah lapisan infrastruktur yang memungkinkan komunikasi yang terkelola, dapat diamati, dan aman di seluruh layanan Anda, sehingga Anda dapat membuat aplikasi perusahaan yang andal yang terdiri dari banyak microservice di infrastruktur yang Anda pilih.

Anda dapat melihat daftar fitur yang didukung di sini.