Questa pagina fornisce una panoramica di come utilizzare i criteri di rete Kubernetes standard per controllare il traffico di rete all'interno di un cluster in Google Distributed Cloud (GDC) air-gapped.
Una policy di rete Kubernetes è una risorsa standard con spazio dei nomi che controlla il flusso di traffico a livello di indirizzo IP o porta (livello 3 o 4). I criteri di rete utilizzano le etichette dei pod per selezionare i pod e definire le regole che specificano il traffico consentito da e verso questi pod.
In GDC, le risorse di policy di rete create all'interno di un cluster sono limitate all'ambito di quel cluster. Puoi utilizzarli per definire regole per il traffico tra pod e spazi dei nomi all'interno dello stesso cluster, ma non puoi utilizzare i relativi selettori di etichette per selezionare pod o spazi dei nomi in altri cluster. Per controllare il traffico tra i cluster, devi utilizzare un ProjectNetworkPolicy. Per saperne di più, consulta la panoramica di PNP. Tuttavia, puoi utilizzare i criteri di rete per il traffico esterno all'organizzazione.
Sicurezza e connettività
Il comportamento predefinito viene ereditato dal progetto. Se è presente la base ProjectNetworkPolicy, il traffico all'interno del progetto è consentito per impostazione predefinita e tutto il resto del traffico viene negato. In caso contrario, il traffico viene rifiutato per impostazione predefinita.
Le norme di rete di GDC sono cumulative. Quando più criteri selezionano lo stesso pod, le relative regole vengono combinate. Il traffico è consentito se corrisponde alle regole di almeno uno dei criteri applicabili.
Preparare ruoli e accesso predefiniti
Per configurare i criteri di rete Kubernetes, devi disporre dei ruoli di identità e accesso necessari:
- Amministratore criteri di rete K8s: gestisce i criteri di rete Kubernetes. Chiedi all'amministratore IAM dell'organizzazione di concederti questo ruolo del cluster.