このページでは、Google Distributed Cloud(GDC)エアギャップ アプライアンスのプロジェクト ネットワーク ポリシーの概要について説明します。
プロジェクト ネットワーク ポリシーは、上り(内向き)ルールまたは下り(外向き)ルールのいずれかを定義します。Kubernetes ネットワーク ポリシーとは異なり、ポリシーに指定できるポリシータイプは 1 つだけです。
プロジェクト内のトラフィックの場合、GDC はデフォルトで、事前定義されたプロジェクト ネットワーク ポリシー(プロジェクト内ポリシー)を各プロジェクトに適用します。
プロジェクト内のサービスとワークロードは、デフォルトで外部のサービスとワークロードから分離されています。ただし、プロジェクト間のトラフィック ネットワーク ポリシーを適用することで、異なるプロジェクト Namespace の Service とワークロードが相互に通信できます。
上り(内向き)と下り(外向き)のファイアウォール ルールは、プロジェクト ネットワーク ポリシーの主なコンポーネントであり、ネットワークに出入りするトラフィックの種類を決定します。GDC でプロジェクトの名前空間のファイアウォール ルールを設定するには、GDC コンソールを使用します。
セキュリティと接続
デフォルトでは、プロジェクト内のサービスとワークロードは、そのプロジェクト内で分離されます。ネットワーク ポリシーを構成しないと、外部サービスやワークロードと通信できません。
GDC でプロジェクトの名前空間のネットワーク ポリシーを設定するには、ProjectNetworkPolicy リソースを使用します。このリソースを使用すると、プロジェクト内、プロジェクト間、外部 IP アドレスとの通信を許可するポリシーを定義できます。また、プロジェクトからワークロードを転送できるのは、プロジェクトのデータ漏洩保護を無効にする場合に限られます。
GDC プロジェクトのネットワーク ポリシーは追加型です。ワークロードの結果として得られる適用は、そのワークロードに適用されるすべてのポリシーの結合に対するトラフィック フローの any 一致です。複数のポリシーが存在する場合、各ポリシーのルールが加算的に結合され、少なくとも 1 つのルールに一致するトラフィックが許可されます。
また、単一のポリシーを適用すると、指定されていないすべてのトラフィックが拒否されます。したがって、ワークロードをサブジェクトとして選択する 1 つ以上のポリシーを適用すると、ポリシーで指定されたトラフィックのみが許可されます。
プロジェクトに割り当てた既知の IP アドレスを使用すると、組織からのアウトバウンド トラフィックに対して送信元ネットワーク アドレス変換(NAT)が実行されます。
ワークロード レベルのネットワーク ポリシー
ワークロード レベルのネットワーク ポリシーを作成して、プロジェクト内の個々の VM と Pod に対するきめ細かいアクセス制御を定義できます。これらのポリシーは、ワークロードのファイアウォールとして機能し、ラベルに基づいてトラフィック フローを制御して、セキュリティを強化し、アプリケーションを分離します。この粒度により、プロジェクト内およびプロジェクト間で相互に通信できるワークロードをより厳密に制御できます。
事前定義ロールとアクセス権を準備する
プロジェクト ネットワーク ポリシーを構成するには、必要な ID とアクセスロールが必要です。
- プロジェクト NetworkPolicy 管理者: プロジェクト Namespace のプロジェクト ネットワーク ポリシーを管理します。組織の IAM 管理者に、プロジェクトの NetworkPolicy 管理者(
project-networkpolicy-admin)クラスタロールを付与するよう依頼します。