이 페이지에서는 표준 Kubernetes 네트워크 정책을 사용하여 Google Distributed Cloud (GDC) 에어 갭에서 클러스터 내 네트워크 트래픽을 제어하는 방법을 간략하게 설명합니다.
Kubernetes 네트워크 정책은 IP 주소 또는 포트 수준 (레이어 3 또는 4)에서 트래픽 흐름을 제어하는 표준 네임스페이스 리소스입니다. 네트워크 정책은 포드 라벨을 사용하여 포드를 선택하고 해당 포드 간에 허용되는 트래픽을 지정하는 규칙을 정의합니다.
GDC에서 클러스터 내에 생성된 네트워크 정책 리소스는 해당 클러스터의 범위로만 제한됩니다. 이를 사용하여 동일한 클러스터 내의 포드와 네임스페이스 간 트래픽 규칙을 정의할 수 있지만 라벨 선택기를 사용하여 다른 클러스터의 포드 또는 네임스페이스를 선택할 수는 없습니다. 클러스터 간 트래픽을 제어하려면 ProjectNetworkPolicy를 사용해야 합니다. 자세한 내용은 PNP 개요를 참고하세요. 하지만 조직 외부 트래픽에는 네트워크 정책을 사용할 수 있습니다.
보안 및 연결
기본 동작은 프로젝트에서 상속됩니다. 기본 ProjectNetworkPolicy가 있으면 프로젝트 내 트래픽은 기본적으로 허용되고 다른 모든 트래픽은 거부됩니다. 그렇지 않으면 트래픽이 기본적으로 거부됩니다.
GDC 네트워크 정책은 추가됩니다. 여러 정책에서 동일한 포드를 선택하면 규칙이 결합됩니다. 트래픽이 적용 가능한 정책 중 하나 이상의 규칙과 일치하면 허용됩니다.
사전 정의된 역할 및 액세스 준비
Kubernetes 네트워크 정책을 구성하려면 필요한 ID 및 액세스 역할이 있어야 합니다.
- K8s 네트워크 정책 관리자: Kubernetes 네트워크 정책을 관리합니다. 조직 IAM 관리자에게 이 클러스터 역할을 부여해 달라고 요청하세요.