我在官方文档中找不到是否NetworkPolicy阻止NodePort入口流量。
ingress:
- from:
- podSelector:
matchLabels:
role: frontend
考虑上面的 NetworkPolicy - 是否期望它会阻止任何进入NodePort我的命名空间内的 -type 服务的流量?
如果是这样,我如何允许此类流量进入我的命名空间?会ipBlock解决吗?
Kubernetes NetworkPolicies 是否会阻止 NodePort 流量?
并不真地。
正如文档中所说:“是Pod组如何......的规范”。基本上,它们应用于 Pod 或 Pod 组。在 Kubernetes 中被定义为一种ServiceNodePort类型。
您可以将网络策略应用到命名空间并指定您提到的ipBlock来限制流量。这将专门限制 pod 的流量,但不限制 NodePort。(这可能就是您所需要的)
要限制 NodePort 的流量,您必须使用替代的外部解决方案,这实际上取决于您的设置。例如,如果您使用的是 AWS 等云提供商,则可以使用安全组。
或者,GCP 为Google Cloud Armor提供后端配置,允许您控制服务/入口的流量。
| 归档时间: |
|
| 查看次数: |
2632 次 |
| 最近记录: |