מידע על מדיניות רשת בכמה רשתות

בדף הזה מוסבר איך לשלוט בזרימת תעבורת הרשת בין Pods לבין Services באמצעות כללים של חומת אש ברמת ה-Pod.

כללי מדיניות של רשת לאפליקציות עוזרים להגדיר כללים לתעבורת נתונים של תקשורת בין קבוצות Pod. הוא קובע איך פודים מתקשרים אחד עם השני בתוך האפליקציות שלהם ועם נקודות קצה חיצוניות. אפשר להפעיל מדיניות רשת ברשתות של Pod באשכולות GKE שבהם מופעלת תכונת הריבוי רשתות. אפשר לאכוף מדיניות רשת בממשקי Pod נוספים שתואמים לרשתות Pod שצוינו על ידי המשתמש.

למה כדאי להשתמש במדיניות רשת בכמה רשתות

כדאי להשתמש במדיניות רשת מרובת רשתות בתרחישים הבאים:

  • אבטחת רשת משופרת: אתם רוצים לבודד ולהגן על עומסי עבודה או נתונים רגישים על ידי הגדרת מדיניות רשת עבור רשתות Pod ספציפיות. מדיניות רשת מרובת רשתות מגבילה את החשיפה ומצמצמת את שטח ההתקפה.

  • שליטה מדויקת בתעבורת הנתונים: אתם רוצים להשיג שליטה מדויקת בזרימת תעבורת הנתונים בין Pods ושירותים ברשתות Pod שונות, כדי לאפשר טופולוגיות מורכבות של רשתות ודרישות אבטחה.

  • סביבות מרובות דיירים: אתם רוצים ליצור רשתות מבודדות לדיירים או לאפליקציות שונים, כדי להבטיח שהם לא יוכלו להפריע לתקשורת אחד של השני, תוך שמירה על שליטה בגישה לרשת בכל רשת Pod.

  • אופטימיזציה של ניצול המשאבים: אתם רוצים להטמיע מדיניות רשת ברשתות Pod ספציפיות כדי להקצות משאבים בצורה יעילה ולתת עדיפות לתנועה על סמך דרישות האפליקציה, וכך לשפר את הביצועים והמהימנות.

  • אבטחה של פונקציות רשת מבוססות-קונטיינר (CNF): אתם רוצים להפריד בין תעבורת הניהול לבין תעבורת מישור הנתונים באותו Pod, כדי למנוע פרצות אבטחה פוטנציאליות וגישה לא מורשית.

איך כללי מדיניות של רשתות מרובות פועלים עם רשתות Pod

הדיאגרמה הבאה ממחישה איך מדיניות רשת, שמוחלת על רשתות Pod ספציפיות באמצעות הערות, שולטת בזרימת התנועה בין Pods באשכול GKE.

איך פועלת מדיניות רשת בכמה רשתות

בתרשים שלמעלה מוצגים כמה צמתי עובד שמריצים Pods (אפליקציות בקונטיינרים), ומוצגות האינטראקציות ביניהם באותו צומת או בצמתים שונים באמצעות תשתית הרשת. בנוסף, הוא מדגים את השימוש במדיניות רשת כדי לשלוט בזרימת התנועה, ואת פילוח הרשת באמצעות VPC ותת-רשתות לשיפור האבטחה והארגון.

  1. בידוד התנועה באמצעות מדיניות רשת ממוקדת: מדיניות הרשת משפיעה רק על התנועה ברשת של ה-Pod 'כחול' בגלל ההערה networking.gke.io/network: blue-Pod-network. התנועה ברשת הפוד שמוגדרת כברירת מחדל לא מוגבלת.
  2. אכיפת תעבורת נתונים חד-כיוונית באמצעות מדיניות רשת של Pod: בתרשים שלמעלה, מדיניות הרשת מאפשרת ל-Pod1 לשלוח תעבורת נתונים ל-Pod2 ברשת ה-Pod 'הכחולה'. ‫Pod2 לא יכול לשלוח תנועה חזרה אל Pod1 באותה רשת. מדיניות הרשת עבור Pods עם התווית test-app-2 פועלת כערוץ חד-כיווני. היא מאפשרת תנועה יוצאת רק לכיוון Pods עם התווית test-app-3, ומונעת תקשורת עם Pods אחרים כמו test-app-1.
  3. מאפשרת תעבורה יוצאת כברירת מחדל: אם לא מוגדרת מדיניות יציאה לקבוצת Pod (Pod1 בדוגמה הזו), כל התעבורה היוצאת מותרת כברירת מחדל בממשק הרשת 'כחול'.
  4. תאימות לתכונות קיימות: כל האפשרויות של מדיניות רשת רגילה ב-GKE, כמו בוררי תוויות ובלוקים של כתובות IP, פועלות עם מדיניות רשת מרובת-רשתות.
  5. שליטה בהיקף המדיניות של הרשת באמצעות הערות:
    1. אם יוצרים מדיניות רשת ללא הערה, GKE מחיל מדיניות רשת מרובת רשתות על כל ממשקי הרשת בתרמילים במרחב השמות שנבחר, בלי קשר לרשתות התרמילים שאליהם הם מחוברים.
    2. אם כוללים את ההערה ומציינים את השם של רשת Pod תקפה (לדוגמה, networking.gke.io/network: blue-Pod-network),‏ GKE מחילה את המדיניות על ה-Pods שמחוברים לרשת ה-Pod הספציפית הזו.
    3. אם ההערה מפנה לרשת של Pod שלא קיימת בפועל באשכול, GKE לא יחיל את מדיניות הרשת על אף אחד מה-Pod. הסיבה לכך היא שלא מחוברים מכשירי Pod לרשת שצוינה, שלא קיימת.
  6. שומר על תקשורת בין רשתות עבור Pods עם כמה ממשקי רשת: אם מחילים מדיניות רשת כדי להגביל את התעבורה ברשת Pod ספציפית בתוך Pod, ההגבלה לא תשפיע על התעבורה ברשתות Pod אחרות שמחוברות לאותו Pod.

יתרונות

היתרונות של שימוש במדיניות רשת מרובת רשתות:

  • אבטחה משופרת: אפשר לצמצם את הסיכונים שקשורים לגישה לא מורשית ולתנועה לרוחב באשכול GKE באמצעות החלת מדיניות רשת ברמה מפורטת.

  • גמישות והתאמה אישית: אתם יכולים להתאים את מדיניות הרשת לצרכים הספציפיים שלכם בתחום האבטחה וניהול התנועה ברשתות Pod שונות, על ידי התאמה לעומסי עבודה ולאפליקציות מגוונים.

  • ניהול רשת פשוט יותר: אתם יכולים להימנע מיצירה של רשתות Pod מרובות מדי, ולקבל שליטה מדויקת בתקשורת באמצעות מדיניות רשת, מה שמפשט את ניהול הרשת ומפחית את המורכבות.

  • אופטימיזציית עלויות: כדי להימנע מהצורך ליצור רשתות Pod רבות, אפשר לבצע אופטימיזציה של ניצול המשאבים ולהפחית את העלויות שקשורות לתשתית הרשת.

  • הגנה משופרת על CNF: כדי להבטיח את האבטחה והשלמות של פריסות CNF, אפשר לבודד את התנועה במישור הניהול ובמישור הנתונים, ולהחיל מדיניות רשת ספציפית על כל פריסה.

המאמרים הבאים