那些遇到过的问题

如何允许使用出口网络策略访问kubernetes api?

Igo*_*pin 12 kubernetes project-calico kubernetes-networkpolicy

带有kubectl get pod命令的Init容器用于获取其他pod的就绪状态.

打开Egress NetworkPolicy后,init容器无法访问Kubernetes API : Unable to connect to the server: dial tcp 10.96.0.1:443: i/o timeout. CNI是Calico.

尝试了几个规则,但它们都没有工作(服务和主机主机IP,不同的CIDR掩码):

...
  egress:
  - to:
    - ipBlock:
        cidr: 10.96.0.1/32
    ports:
    - protocol: TCP
      port: 443
...
Run Code Online (Sandbox Code Playgroud)

或使用命名空间(默认和kube系统命名空间):

...
  egress:
  - to:
    - namespaceSelector:
        matchLabels:
          name: default
    ports:
    - protocol: TCP
      port: 443
...
Run Code Online (Sandbox Code Playgroud)

看起来ipBlock规则只是不起作用,命名空间规则不起作用,因为kubernetes api是非标准pod.

可以配置吗?Kubernetes是1.9.5,Calico是3.1.1.

小智 8

您需要获取使用的主站的真实 IPkubectl get endpoints --namespace default kubernetes并制定出口策略以允许这样做。

---
kind: NetworkPolicy
apiVersion: networking.k8s.io/v1 
metadata:
  name: allow-apiserver
  namespace: test
spec:
  policyTypes:
  - Egress
  podSelector: {}
  egress:
  - ports:
    - port: 443
      protocol: TCP
    to:
    - ipBlock:
        cidr: x.x.x.x/32
Run Code Online (Sandbox Code Playgroud)

  • master的IP可以改吗?如果是这样,则此配置可能会损坏。 (2认同)

归档时间:

查看次数:

826 次

最近记录:

6 年,3 月 前
相关归档
找不到默认凭据 40
如何从kubernetes中的dockerhub中提取图像? 15
kubernetes 中的容器标签 8
Kubernetes API 服务器日志中的 TLS 握手错误 6
Kubernetes - 它在哪里存储秘密以及它如何在多个节点上使用这些秘密? 6
使用 NodePort 访问 azure kubernetes 集群 3
警戒线和污点和容忍之间的区别(污点效果-NoExecute) 3
为什么 k8s 容器规范“命令”字段是一个数组? 3
如何使用 helm 从目录创建 ConfigMap 2
如何诊断从未准备好的Kubernetes集群? 1
难疑归档
如何强制"git pull"覆盖本地文件? 6654
Python有一个字符串'contains'子串方法吗? 3601
PHP:从数组中删除元素 2362
如何使用CSS为文本或图像提供透明背景? 2211
为什么GCC不优化a*a*a*a*a*a到(a*a*a)*(a*a*a)? 2083
如果目录尚不存在,如何mkdir? 1784
如何基于通配符匹配以递归方式查找当前和子文件夹中的所有文件? 1695
如何遍历C#中的所有枚举值? 1359
jQuery document.createElement等价? 1226
#Hibernate hbm2ddl.auto配置的可能值是什么,它们做了什么 1046