那些遇到过的问题

如何使用 NetworkPolicy 隔离命名空间中的 pod,而不禁用 Kubernetes pod 的外部流量

Pra*_*esh 6 kubernetes kubernetes-networkpolicy kubernetes-ingress kubernetes-networking

我正在尝试将命名空间中的 pod 与其他命名空间隔离。我尝试创建一个 NetworkPolicy:

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: deny-from-other-namespaces
spec:
  podSelector:
    matchLabels:
  ingress:
  - from:
    - podSelector: {}
Run Code Online (Sandbox Code Playgroud)

此 NetworkPolicy 成功将我的命名空间中的 Pod 与另一个命名空间隔离。但此策略一旦应用,就会禁用到这些 Pod 的所有外部流量。是否有任何方法可以仅阻止来自其他命名空间的流量并允许所有外部流量到达 Pod。

ode*_*S0n 1

使用 kubernetes 网络策略 我认为不可能在允许所有外部流量的同时拒绝 Pod 之间的通信。这是因为 kubernetes networkPolicy 资源没有显式拒绝规则的概念。我会调整您的方法或考虑另一个具有拒绝规则的网络策略(例如Calico)。

解决方案:

apiVersion: projectcalico.org/v3
kind: NetworkPolicy
metadata:
  name: deny-other-namespaces
  namespace: prod
spec:
  selector: all()
  types:
  - Ingress
  - Egress
  ingress:
  - action: Deny
    protocol: TCP
    source:
      namespaceSelector: name == 'dev'
  - action: Allow
  egress:
  - action: Allow
Run Code Online (Sandbox Code Playgroud)

归档时间:

查看次数:

1095 次

最近记录:

3 年,3 月 前
相关归档
需要ssh到Kubernetes pod 12
使用kubeadm配置时重新启动kube-apiserver 6
gRPC 套接字在具有入口的 kubernetes 上关闭 6
使用Traefik和Kubernetes将流量路由到其他命名空间中的服务 5
如何在不重启应用程序的情况下动态共享微服务副本之间的数据 5
kunernetes Service 和 Ingress 的区别 5
curl:(7)无法连接到192.168.99.100端口31591:连接被拒绝 3
helm 3.Release.time.Seconds 不存在 3
Kubernetes hpa 无法获取内存指标(明确说明时) 2
如何在 docker-compose 等 kubernetes 中进行端口转发 1
难疑归档
如何按值对字典进行排序? 3424
如何有效地迭代Java Map中的每个条目? 3113
检查字典中是否已存在给定键 2683
为什么"使用命名空间std"被认为是不好的做法? 2486
将字符串转换为datetime 2035
什么是反思,为什么它有用? 2011
删除文件或文件夹 1910
方法和函数之间有什么区别? 1665
在单个SQL查询中插入多行? 1604
为什么我们需要C++中的虚函数? 1223