Controllare la comunicazione a livello di cluster utilizzando i criteri di rete

Questa pagina spiega come configurare le policy di rete a livello di cluster per Google Kubernetes Engine (GKE).

Le policy di rete e le policy di rete FQDN consentono di definire le regole del traffico di comunicazione tra i pod. Le policy di rete controllano il modo in cui i pod comunicano tra loro all'interno delle rispettive applicazioni e con gli endpoint esterni.

In qualità di amministratore del cluster, puoi configurare le policy di rete a livello di cluster Cilium (CCNP), che superano le limitazioni delle policy di rete per la gestione del traffico amministrativo a livello di cluster. Le policy di rete a livello di cluster Cilium applicano regole di rete rigorose a tutti i workload dell'intero cluster, tra gli spazi dei nomi, sostituendo eventuali regole specifiche dell'applicazione.

La policy di rete a livello di cluster Cilium per GKE è una definizione di risorsa personalizzata (CRD) con ambito cluster che specifica le policy applicate da GKE. Abilitando la policy di rete a livello di cluster Cilium in GKE, puoi gestire centralmente le regole di rete per l'intero cluster. Puoi controllare l'accesso di base di livello 3 (a livello di IP) e di livello 4 (a livello di porta) per il traffico in entrata e in uscita dal cluster.

Vantaggi

Con la policy di rete a livello di cluster Cilium puoi:

  • Applicare la sicurezza centralizzata: con CCNP, puoi definire regole di accesso alla rete che si applicano all'intera rete. Queste regole CCNP fungono da livello di sicurezza di primo livello, sostituendo eventuali policy potenzialmente in conflitto a livello di spazio dei nomi.
  • Proteggere la multi-tenancy: se il cluster ospita più team o tenant, puoi proteggere l'isolamento all'interno di un cluster condiviso implementando regole CCNP, che si concentrano sul controllo del traffico di rete. Puoi applicare la separazione a livello di rete assegnando spazi dei nomi o gruppi di spazi dei nomi a team specifici.
  • Definire policy predefinite flessibili: con CCNP, puoi definire regole di rete predefinite per l'intero cluster. Puoi personalizzare queste regole quando necessario senza compromettere la sicurezza complessiva del cluster.

Per implementare CCNP, abilita GKE Dataplane V2 sul cluster. Assicurati che la CRD CCNP sia abilitata, quindi crea policy che definiscano le regole di accesso alla rete per il cluster.

Prima di iniziare

Prima di iniziare, assicurati di aver eseguito le seguenti attività:

  • Abilita l'API Google Kubernetes Engine.
  • Abilita l'API Google Kubernetes Engine
  • Se vuoi utilizzare Google Cloud CLI per questa attività, installala e poi inizializza gcloud CLI. Se hai già installato gcloud CLI, scarica l'ultima versione eseguendo il gcloud components update comando. Le versioni precedenti di gcloud CLI potrebbero non supportare l'esecuzione dei comandi in questo documento.

Requisiti

Le policy di rete a livello di cluster Cilium hanno i seguenti requisiti:

  • Google Cloud CLI versione 465.0.0 o successive.
  • Devi avere un cluster GKE che esegue una delle seguenti versioni:
    • 1.28.6-gke.1095000 o successive
    • 1.29.1-gke.1016000 o successive
  • Il cluster deve utilizzare GKE Dataplane V2.
  • Devi abilitare la CRD della policy di rete a livello di cluster Cilium.

Limitazioni

Le policy di rete a livello di cluster Cilium hanno le seguenti limitazioni:

  • Le policy di livello 7 non sono supportate.
  • I selettori di nodi non sono supportati.
  • Il numero massimo di CiliumClusterwideNetworkPolicy per cluster è 1000.

Abilitare la policy di rete a livello di cluster Cilium in un nuovo cluster

Puoi abilitare la policy di rete a livello di cluster Cilium in un nuovo cluster utilizzando Google Cloud CLI o l'API Kubernetes Engine.

gcloud

Per abilitare la policy di rete a livello di cluster Cilium in un nuovo cluster, crea un nuovo cluster con il flag --enable-cilium-clusterwide-network-policy.

Autopilot

gcloud container clusters create-auto CLUSTER_NAME \
    --location COMPUTE_LOCATION \
    --enable-cilium-clusterwide-network-policy

Sostituisci quanto segue:

  • CLUSTER_NAME con il nome del cluster.
  • COMPUTE_LOCATION con la località del cluster.

Standard

gcloud container clusters create CLUSTER_NAME \
    --location COMPUTE_LOCATION \
    --enable-cilium-clusterwide-network-policy \
    --enable-dataplane-v2

Sostituisci quanto segue:

  • CLUSTER_NAME con il nome del cluster.
  • COMPUTE_LOCATION con la località del cluster.

API

Per abilitare la policy di rete a livello di cluster Cilium, devi specificare le seguenti opzioni durante la creazione di un nuovo cluster:

datapathProvider campo nell'networkConfig oggetto.

{
  "cluster": {
    ...
    "networkConfig": {
      "datapathProvider": "ADVANCED_DATAPATH",
      "enableCiliumClusterwideNetworkPolicy": true
    }
  }
}

Verifica che ciliumclusterwidenetworkpolicies.cilium.io sia presente nell'output del seguente comando:

kubectl get crds ciliumclusterwidenetworkpolicies.cilium.io

L'output dovrebbe essere simile al seguente:

ciliumclusterwidenetworkpolicies.cilium.io     2023-09-19T16:54:48Z

Abilitare la policy di rete a livello di cluster Cilium in un cluster esistente

Puoi abilitare la policy di rete a livello di cluster Cilium in un cluster esistente utilizzando Google Cloud CLI o l'API Kubernetes Engine.

gcloud

  1. Verifica che nel cluster sia abilitato GKE Dataplane V2.

    gcloud container clusters describe CLUSTER_NAME \
        --location COMPUTE_LOCATION \
        --format="value(networkConfig.datapathProvider)" \
    

    Sostituisci quanto segue:

    • CLUSTER_NAME con il nome del cluster.
    • COMPUTE_LOCATION con la località del cluster.
  2. Aggiorna il cluster utilizzando il flag --enable-cilium-clusterwide-network-policy.

    gcloud container clusters update CLUSTER_NAME \
        --location COMPUTE_LOCATION \
        --enable-cilium-clusterwide-network-policy
    
  3. Riavvia il DaemonSet anetd.

    kubectl rollout restart ds -n kube-system anetd && \
        kubectl rollout status ds -n kube-system anetd
    

API

Verifica che il cluster sia abilitato per GKE Dataplane V2:

{
  "update": {
    "desiredEnableCiliumClusterwideNetworkPolicy": true
  },
  "name": "cluster"
}
To update an existing cluster, run the following update cluster command:
{
  "update": {
    "desiredEnableCiliumClusterwideNetworkPolicy": true
  }
  "name": "cluster"
}

Verifica che ciliumclusterwidenetworkpolicies.cilium.io sia presente nell'output del seguente comando:

kubectl get crds ciliumclusterwidenetworkpolicies.cilium.io

L'output dovrebbe essere simile al seguente:

ciliumclusterwidenetworkpolicies.cilium.io     2023-09-19T16:54:48Z

Utilizzare la policy di rete a livello di cluster Cilium

Questa sezione elenca esempi di configurazione della policy di rete a livello di cluster Cilium.

Esempio 1: controllare il traffico in entrata verso un workload

L'esempio seguente consente a tutti gli endpoint con l'etichetta role=backend di accettare le connessioni in entrata sulla porta 80 dagli endpoint con l'etichetta role=frontend. Gli endpoint con l'etichetta role=backend rifiuteranno tutte le connessioni in entrata non consentite da questa policy.

  1. Salva il seguente manifest come l4-rule-ingress.yaml:

    apiVersion: "cilium.io/v2"
    kind: CiliumClusterwideNetworkPolicy
    metadata:
      name: "l4-rule-ingress"
    spec:
      endpointSelector:
        matchLabels:
          role: backend
      ingress:
        - fromEndpoints:
            - matchLabels:
                role: frontend
          toPorts:
            - ports:
                - port: "80"
                  protocol: TCP
    
  2. Applica il manifest:

    kubectl apply -f l4-rule-ingress.yaml
    

Esempio 2: limitare il traffico in uscita da un workload su una determinata porta

La seguente regola limita tutti gli endpoint con l'etichetta app=myService in modo che possano emettere pacchetti solo utilizzando TCP sulla porta 80, verso qualsiasi destinazione di livello 3:

  1. Salva il seguente manifest come l4-rule-egress.yaml:

    apiVersion: "cilium.io/v2"
    kind: CiliumClusterwideNetworkPolicy
    metadata:
      name: "l4-rule-egress"
    spec:
      endpointSelector:
        matchLabels:
          app: myService
      egress:
        - toPorts:
            - ports:
                - port: "80"
                  protocol: TCP
    
  2. Applica il manifest:

    kubectl apply -f l4-rule-egress.yaml
    

Esempio 3: limitare il traffico in uscita da un workload su una determinata porta e un determinato CIDR

L'esempio seguente limita tutti gli endpoint con l'etichetta role=crawler in modo che possano inviare pacchetti solo sulla porta 80, protocolli TCP, a un CIDR di destinazione 192.10.2.0/24.

  1. Salva il seguente manifest come cidr-l4-rule.yaml:

     apiVersion: "cilium.io/v2"
     kind: CiliumClusterwideNetworkPolicy
     metadata:
       name: "cidr-l4-rule"
     spec:
       endpointSelector:
         matchLabels:
           role: crawler
       egress:
         - toCIDR:
             - 192.0.2.0/24
           toPorts:
             - ports:
                 - port: "80"
                   protocol: TCP
    
  2. Applica il manifest:

    kubectl apply -f cidr-l4-rule.yaml
    

Monitorare e risolvere i problemi relativi al traffico di rete

Puoi monitorare e risolvere i problemi relativi al traffico di rete interessato dalle policy di rete a livello di cluster Cilium tramite il logging delle policy di rete e l'osservabilità di GKE Dataplane V2.

Tentativo di utilizzare policy di livello 7 o selettori di nodi

Sintomo

Se utilizzi GKE con GKE Dataplane V2 e tenti di definire policy CCNP che includono regole di livello 7 (ad esempio: filtro HTTP) e selettori di nodi, potresti visualizzare un messaggio di errore simile al seguente:

Errore

Error from server (GKE Warden constraints violations): error when creating
"ccnp.yaml": admission webhook
"warden-validating.common-webhooks.networking.gke.io" denied the request: GKE
Warden rejected the request because it violates one or more constraints.
Violations details: {"[denied by gke-cilium-network-policy-limitation]":["L7
rules are not allowed in CiliumClusterwideNetworkPolicy"]} Requested by user:
'user@example.com', groups: 'system:authenticated'.

Causa potenziale

GKE ha limitazioni specifiche per le CCNP. Le policy di livello 7, che consentono il filtraggio in base ai dati a livello di applicazione (come le intestazioni HTTP), e i selettori di nodi non sono supportati nell'integrazione di Cilium di GKE.

Risoluzione

Se hai bisogno di funzionalità di filtraggio avanzate di livello 7 nel cluster GKE, valuta la possibilità di utilizzare Cloud Service Mesh. In questo modo avrai un controllo più granulare del traffico a livello di applicazione.

Policy di rete a livello di cluster Cilium non abilitata

Sintomo

Quando provi a configurare le policy di rete a livello di cluster Cilium (CCNP) in un cluster in cui la funzionalità non è stata abilitata in modo esplicito, non potrai configurarla e potresti visualizzare un messaggio di errore simile al seguente:

Errore

error: resource mapping not found for name: "l4-rule" namespace: "" from
"ccnp.yaml": no matches for kind "CiliumClusterwideNetworkPolicy" in version
"cilium.io/v2" ensure CRDs are installed first

Causa potenziale

Le policy di rete a livello di cluster Cilium si basano su una definizione di risorsa personalizzata (CRD). Il messaggio di errore indica che la CRD non è presente nel cluster.

Risoluzione

Abilita la CRD della policy di rete a livello di cluster Cilium prima di utilizzare le CCNP.

Passaggi successivi