本頁提供 Google Distributed Cloud (GDC) 實體隔離設備的專案網路政策總覽。
專案網路政策會定義輸入或輸出規則。與 Kubernetes 網路政策不同,您只能為政策指定一種政策類型。
對於專案內的流量,GDC 預設會將預先定義的專案網路政策 (即專案內政策) 套用至每個專案。
專案中的服務和工作負載預設會與外部服務和工作負載隔離。不過,只要套用跨專案流量網路政策,不同專案命名空間的服務和工作負載就能彼此通訊。
輸入和輸出防火牆規則是專案網路政策的主要元件,可決定允許哪些類型的流量進出網路。如要在 GDC 中為專案命名空間設定防火牆規則,請使用 GDC 控制台。
安全性與連線
根據預設,專案中的服務和工作負載會與該專案隔離。如未設定網路政策,就無法與外部服務和工作負載通訊。
如要在 GDC 中為專案命名空間設定網路政策,請使用 ProjectNetworkPolicy 資源。您可以透過這項資源定義政策,允許專案內、專案間、外部 IP 位址的通訊,以及來自外部 IP 位址的通訊。此外,只有停用專案的資料竊取防護功能,才能將工作負載移出專案。
GDC 專案網路政策是外加的。工作負載的最終強制執行結果,是針對套用至該工作負載的所有政策聯集,對流量流程進行「any」比對。如果有多項政策,系統會將每項政策的規則加總合併,只要流量符合其中一項規則,就會允許通過。
此外,套用單一政策後,系統會拒絕所有未指定的流量。因此,當您套用一或多項以工作負載為主題的政策時,系統只會允許政策指定的流量。
使用您為專案分配的知名 IP 位址時,系統會對機構外送流量執行來源網路位址轉譯 (NAT)。
工作負載層級網路政策
您可以建立工作負載層級的網路政策,為專案中的個別 VM 和 Pod 定義精細的存取權控管機制。這些政策可做為工作負載的防火牆,根據標籤控管流量,以提升安全性並隔離應用程式。這項精細程度可讓您嚴格控管專案內和跨專案的工作負載,確保只有允許的工作負載可以相互通訊。
準備預先定義的角色和存取權
如要設定專案網路政策,您必須具備必要的 Identity and Access 角色:
- 專案 NetworkPolicy 管理員:管理專案命名空間中的專案網路政策。請機構 IAM 管理員授予您專案 NetworkPolicy 管理員 (
project-networkpolicy-admin) 叢集角色。