menu
arrow_back

Como usar uma política de rede no Google Kubernetes Engine

—/100

Checkpoints

arrow_forward

Use Terraform to set up the necessary infrastructure (Lab setup)

Installing the hello server

Deploy a second copy of the hello-clients app into the new namespace

Como usar uma política de rede no Google Kubernetes Engine

1 hora 5 créditos

GSP480

Laboratórios autoguiados do Google Cloud

Visão geral

Este laboratório mostra como melhorar a segurança do Kubernetes Engine aplicando restrições detalhadas à comunicação de rede.

O princípio do menor privilégio é amplamente reconhecido como uma importante prática de design para melhorar a proteção de sistemas essenciais contra falhas e comportamentos nocivos. Ele sugere que cada componente deve acessar apenas as informações e os recursos necessários à finalidade legítima. Este documento demonstra como é possível implementá-lo na camada de rede do Kubernetes Engine.

As conexões de rede podem ser restritas a dois níveis da infraestrutura do Kubernetes Engine. O primeiro mecanismo, que é menos detalhado, consiste na aplicação de regras de firewall nos níveis de rede, sub-rede e host. Elas são aplicadas fora do Kubernetes Engine, no nível da VPC.

Embora o uso de regras de firewall seja uma medida de segurança eficiente, o Kubernetes permite que você defina regras ainda mais detalhadas com as políticas de rede, que são usadas para limitar a comunicação intracluster. Elas não se aplicam aos pods anexados ao namespace de rede do host.

Neste laboratório, você provisionará um cluster privado do Kubernetes Engine e um Bastion Host para acessá-lo. O Bastion Host fornece um único host com acesso ao cluster para garantir que ele não seja exposto a comportamentos nocivos da Internet, quando combinado com a rede privada do Kubernetes. Os Bastions são especialmente úteis quando você não tem acesso via VPN à rede da nuvem.

No cluster, um servidor HTTP simples e dois pods clientes serão provisionados. Você aprenderá a usar uma política de rede e rotular para permitir apenas conexões de um dos pods.

Este laboratório foi criado por engenheiros do GKE Helmsman para explicar a autorização binária do GKE. Clique aqui para ver a demonstração no GitHub.

  • Incentivamos todos a contribuir com nossos recursos.

Participe do Qwiklabs para ler o restante deste laboratório e muito mais!

  • Receber acesso temporário a Console do Google Cloud.
  • Mais de 200 laboratórios, do nível iniciante ao avançado.
  • Tamanho compacto para que você possa aprender no seu próprio ritmo.
Participe para iniciar este laboratório