use*_*872 5 kubernetes
我对所有命名空间中的所有 pod 有一个默认拒绝所有策略。如果允许将所有内容添加到某个命名空间中的 pod 中怎么办?什么会优先?组合多个策略时是否存在 and/or 逻辑?
谢谢
小智 1
从我发现的情况来看,这并不完全清楚,但文档暗示任何允许优先于拒绝:
Pod 通过选择它们的 NetworkPolicy 来隔离。一旦命名空间中有任何 NetworkPolicy 选择特定的 pod,该 pod 将拒绝任何 NetworkPolicy 不允许的任何连接。(命名空间中未被任何 NetworkPolicy 选择的其他 Pod 将继续接受所有流量。)
基本上,将 NetworkPolicy 应用于任何 Pod 都包含隐式的“拒绝其他任何内容”策略。通过创建“默认拒绝”策略,您可以隔离所有 Pod,因为如果没有它,它们就不会成为任何策略的目标(无策略 = 无隔离)。
归档时间:
7 年,4 月 前
查看次数:
2250 次
最近记录:
6 年,6 月 前