menu
arrow_back

Cómo usar una política de red en Google Kubernetes Engine

—/100

Checkpoints

arrow_forward

Use Terraform to set up the necessary infrastructure (Lab setup)

Installing the hello server

Deploy a second copy of the hello-clients app into the new namespace

Cómo usar una política de red en Google Kubernetes Engine

1 hora 5 créditos

GSP480

Labs de autoaprendizaje de Google Cloud

Descripción general

En este lab, aprenderá a aplicar restricciones precisas a la comunicación de red para mejorar la seguridad de su instancia de Kubernetes Engine.

El Principio de mínimo privilegio es ampliamente reconocido como una importante consideración de diseño al momento de mejorar la protección de sistemas fundamentales contra las fallas y el comportamiento malicioso. Sugiere que cada componente pueda acceder solo a la información y los recursos necesarios para su propósito legítimo. Este documento demuestra cómo se puede implementar el Principio de mínimo privilegio dentro de la capa de red de Kubernetes Engine.

Las conexiones de red se pueden restringir a dos niveles de su infraestructura de Kubernetes Engine. El primer mecanismo, de menor precisión, es la aplicación de reglas de firewall a niveles de red, subred y host. Estas reglas se aplican fuera de Kubernetes Engine, a nivel de VPC.

Si bien las reglas de firewall son una poderosa medida de seguridad, Kubernetes le permite definir reglas aún más precisas mediante las políticas de red. Las políticas de red se usan para limitar la comunicación dentro del clúster. No se aplican a los Pods conectados al espacio de nombres de red del host.

En este lab, aprovisionará un clúster privado de Kubernetes Engine y un host de bastión mediante el cual accederá al clúster. Un host de bastión proporciona un solo host con acceso al clúster, el cual, al combinarse con una red privada de Kubernetes, garantiza que el clúster no esté expuesto a comportamiento malicioso de Internet en general. Los hosts de bastión son particularmente útiles cuando no tiene acceso de VPN a la red de la nube.

Dentro del clúster, se aprovisionarán un servidor HTTP simple y dos Pods cliente. Aprenderá a usar una política de red y establecer etiquetas para permitir las conexiones solo desde uno de los Pods cliente.

Los ingenieros de GKE Helmsman crearon este lab para ayudarlo a comprender mejor la autorización binaria de GKE. Para ver esta demostración en GitHub, haga clic aquí.

  • Invitamos a todos a contribuir con nuestros recursos.

Únase a Qwiklabs para leer este lab completo… y mucho más.

  • Obtenga acceso temporal a Google Cloud Console.
  • Más de 200 labs para principiantes y niveles avanzados.
  • El contenido se presenta de a poco para que pueda aprender a su propio ritmo.
Únase para comenzar este lab