menu
arrow_back

Google Kubernetes Engine でのネットワーク ポリシーの使用方法

—/100

Checkpoints

arrow_forward

Use Terraform to set up the necessary infrastructure (Lab setup)

Installing the hello server

Deploy a second copy of the hello-clients app into the new namespace

Google Kubernetes Engine でのネットワーク ポリシーの使用方法

1時間 クレジット: 5

GSP480

Google Cloud セルフペース ラボ

概要

このラボでは、ネットワーク通信に詳細な制限を適用して、Kubernetes Engine のセキュリティを高める方法について説明します。

最小権限の原則は、重要なシステムを障害や悪意のある行為からより強固に保護するうえで、重要な設計上の考慮事項として広く知られています。この原則では、すべてのコンポーネントには、正当な目的に必要な情報とリソースのみに対するアクセス権を付与しなければならないとされています。このドキュメントでは、Kubernetes Engine のネットワーク レイヤ内に最小権限の原則を実装する方法について説明します。

ネットワーク接続は、Kubernetes Engine インフラストラクチャの 2 つの層で制限できます。最初の詳細度の低いメカニズムは、ネットワーク、サブネットワーク、ホストレベルでのファイアウォール ルールの適用です。これらのルールは、Kubernetes Engine の外部で、VPC レベルで適用されます。

ファイアウォール ルールは強固なセキュリティ保護機構ですが、Kubernetes ではネットワーク ポリシーを使用して、より詳細なルールを定義できます。ネットワーク ポリシーは、クラスタ内通信を制限するために使用されます。ネットワーク ポリシーは、ホストのネットワーク Namespace に接続されている Pod には適用されません。

このラボでは、限定公開の Kubernetes Engine クラスタと、そのクラスタへのアクセスに使用する踏み台インスタンスをプロビジョニングします。踏み台インスタンスは、クラスタへのアクセス権を持つ単一のホストを提供します。このホストを限定公開の Kubernetes ネットワークと組み合わせて使用することで、クラスタが一般のインターネットの悪意のある行為にさらされないようにします。踏み台は、ユーザーにクラウド ネットワークへの VPN アクセスがない場合に特に役立ちます。

クラスタ内には、シンプルな HTTP サーバーと 2 つのクライアント Pod がプロビジョニングされます。ネットワーク ポリシーとラベルを使用して、クライアント Pod の 1 つからの接続のみを許可する方法について説明します。

このラボは、GKE Binary Authorization に関する理解を深めるために GKE Helmsman のエンジニアによって作成されました。このデモは GitHub でご覧いただけます。

  • アセットにぜひ貢献していただければ幸いです。

Qwiklabs に参加してこのラボの残りの部分や他のラボを確認しましょう。

  • Google Cloud Console への一時的なアクセス権を取得します。
  • 初心者レベルから上級者レベルまで 200 を超えるラボが用意されています。
  • ご自分のペースで学習できるように詳細に分割されています。
参加してこのラボを開始