Esta página oferece uma vista geral de como usar políticas de rede padrão do Kubernetes para controlar o tráfego de rede num cluster no Google Distributed Cloud (GDC) isolado.
Uma política de rede do Kubernetes é um recurso padrão com espaço de nomes que controla o fluxo de tráfego ao nível do endereço IP ou da porta (camada 3 ou 4). As políticas de rede usam etiquetas de agrupamentos para selecionar agrupamentos e definir regras que especificam o tráfego permitido de e para esses agrupamentos.
No GDC, os recursos de políticas de rede criados num cluster estão restritos apenas ao âmbito desse cluster. Pode usá-los para definir regras para o tráfego entre pods e espaços de nomes nesse mesmo cluster, mas não pode usar os respetivos seletores de etiquetas para selecionar pods ou espaços de nomes noutros clusters. Para controlar o tráfego entre clusters, tem de usar um ProjectNetworkPolicy. Para mais informações, consulte o artigo Vista geral do PNP. No entanto, pode usar políticas de rede para tráfego externo à organização.
Segurança e conetividade
O comportamento predefinido é herdado do projeto. Se o ProjectNetworkPolicy base estiver presente, o tráfego proveniente do projeto é permitido por predefinição e todo o outro tráfego é recusado. Caso contrário, o tráfego é recusado por predefinição.
As políticas de rede da GDC são cumulativas. Quando várias políticas selecionam o mesmo grupo de anúncios, as respetivas regras são combinadas. O tráfego é permitido se corresponder às regras de, pelo menos, uma das políticas aplicáveis.
Prepare funções e acesso predefinidos
Para configurar políticas de rede do Kubernetes, tem de ter as funções de identidade e acesso necessárias:
- Administrador de políticas de rede do K8s: gere políticas de rede do Kubernetes. Peça ao administrador de IAM da organização para lhe conceder esta função de cluster.