Cette page explique comment utiliser les règles de réseau Kubernetes standards pour contrôler le trafic réseau au sein d'un cluster dans Google Distributed Cloud (GDC) air-gapped.
Une règle de réseau Kubernetes est une ressource standard avec un espace de noms qui contrôle le flux de trafic au niveau de l'adresse IP ou du port (couche 3 ou 4). Les règles de réseau utilisent des étiquettes de pod pour sélectionner les pods et définir des règles qui spécifient le trafic autorisé vers et depuis ces pods.
Dans GDC, les ressources de règles de réseau créées dans un cluster sont limitées à la portée de ce cluster uniquement. Vous pouvez les utiliser pour définir des règles de trafic entre les pods et les espaces de noms d'un même cluster, mais vous ne pouvez pas utiliser leurs sélecteurs d'étiquettes pour sélectionner des pods ou des espaces de noms dans d'autres clusters. Pour contrôler le trafic entre les clusters, vous devez utiliser un ProjectNetworkPolicy. Pour en savoir plus, consultez la présentation de PNP. Toutefois, vous pouvez utiliser des règles réseau pour le trafic externe à l'organisation.
Sécurité et connectivité
Le comportement par défaut est hérité du projet. Si la base ProjectNetworkPolicy est présente, le trafic provenant du projet est autorisé par défaut, et tout autre trafic est refusé. Sinon, le trafic est refusé par défaut.
Les règles de réseau GDC sont cumulatives. Lorsque plusieurs règles sélectionnent le même pod, elles sont combinées. Le trafic est autorisé s'il correspond aux règles d'au moins l'une des règles applicables.
Préparer les rôles et les accès prédéfinis
Pour configurer des règles de réseau Kubernetes, vous devez disposer des rôles Identity and Access Management nécessaires :
- Administrateur des règles de réseau K8s : gère les règles de réseau Kubernetes. Demandez à l'administrateur IAM de votre organisation de vous attribuer ce rôle de cluster.