このページでは、標準の Kubernetes ネットワーク ポリシーを使用して、Google Distributed Cloud(GDC)エアギャップ内のクラスタ内のネットワーク トラフィックを制御する方法の概要について説明します。
Kubernetes ネットワーク ポリシーは、IP アドレスまたはポートレベル(レイヤ 3 または 4)でトラフィック フローを制御する標準の名前空間リソースです。ネットワーク ポリシーは、Pod ラベルを使用して Pod を選択し、それらの Pod との間で許可されるトラフィックを指定するルールを定義します。
GDC では、クラスタ内で作成されたネットワーク ポリシー リソースは、そのクラスタのスコープのみに制限されます。これらを使用して、同じクラスタ内の Pod と Namespace 間のトラフィックのルールを定義できますが、ラベル セレクタを使用して他のクラスタ内の Pod または Namespace を選択することはできません。クラスタ間のトラフィックを制御するには、ProjectNetworkPolicy を使用する必要があります。詳細については、PNP の概要をご覧ください。ただし、組織外のトラフィックにはネットワーク ポリシーを使用できます。
セキュリティと接続
デフォルトの動作はプロジェクトから継承されます。ベース ProjectNetworkPolicy が存在する場合、プロジェクト内のトラフィックはデフォルトで許可され、他のすべてのトラフィックは拒否されます。それ以外の場合、トラフィックはデフォルトで拒否されます。
GDC ネットワーク ポリシーは追加型です。複数のポリシーが同じ Pod を選択すると、それらのルールが結合されます。トラフィックが適用可能なポリシーの少なくとも 1 つのルールと一致する場合、トラフィックは許可されます。
事前定義ロールとアクセス権を準備する
Kubernetes ネットワーク ポリシーを構成するには、必要な ID とアクセスロールが必要です。
- K8s ネットワーク ポリシー管理者: Kubernetes ネットワーク ポリシーを管理します。このクラスタロールを付与するよう、組織の IAM 管理者に依頼してください。