Auf dieser Seite wird beschrieben, wie Sie Standard-Kubernetes-Netzwerkrichtlinien verwenden, um den Netzwerkverkehr in einem Cluster in Google Distributed Cloud (GDC) mit Air Gap zu steuern.
Eine Kubernetes-Netzwerkrichtlinie ist eine standardmäßige, namespacebezogene Ressource, mit der der Trafficfluss auf IP-Adressen- oder Portebene (Ebene 3 oder 4) gesteuert wird. Netzwerkrichtlinien verwenden Pod-Labels, um Pods auszuwählen und Regeln zu definieren, die angeben, welcher Traffic zu und von diesen Pods zulässig ist.
In GDC sind Netzwerkrichtlinienressourcen, die in einem Cluster erstellt werden, nur auf den Bereich dieses Clusters beschränkt. Sie können damit Regeln für den Traffic zwischen Pods und Namespaces innerhalb desselben Clusters definieren, aber nicht die Labelselektoren verwenden, um Pods oder Namespaces in anderen Clustern auszuwählen. Um den Traffic zwischen Clustern zu steuern, müssen Sie einen ProjectNetworkPolicy verwenden. Weitere Informationen finden Sie in der PNP-Übersicht. Sie können jedoch Netzwerkrichtlinien für organisationsfremden Traffic verwenden.
Sicherheit und Konnektivität
Das Standardverhalten wird vom Projekt übernommen. Wenn die Basis-ProjectNetworkPolicy vorhanden ist, ist Traffic aus dem Projekt standardmäßig zulässig und der gesamte andere Traffic wird abgelehnt. Andernfalls wird der Traffic standardmäßig abgelehnt.
GDC-Netzwerkrichtlinien sind additiv. Wenn mehrere Richtlinien denselben Pod auswählen, werden ihre Regeln kombiniert. Traffic ist zulässig, wenn er mit den Regeln in mindestens einer der anwendbaren Richtlinien übereinstimmt.
Vordefinierte Rollen und Zugriff vorbereiten
Zum Konfigurieren von Kubernetes-Netzwerkrichtlinien benötigen Sie die erforderlichen Identitäts- und Zugriffsrollen:
- K8s Network Policy Admin: Verwaltet Kubernetes-Netzwerkrichtlinien. Bitten Sie den IAM-Administrator Ihrer Organisation, Ihnen diese Clusterrolle zuzuweisen.