那些遇到过的问题

kubernetes 中的 NetworkPolicy 与 podSelector 不匹配

Joh*_*han 3 kubernetes kubernetes-networkpolicy amazon-eks

我有一个简单的工作网络策略,如下所示

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: monitoring-network-policy-prometheus-jbn
  namespace: monitoring
spec:
  podSelector:
    matchLabels:
      app: prometheus
  policyTypes:
    - Egress
  egress:
    - to: 
      ports:
        - port: 61678
Run Code Online (Sandbox Code Playgroud)

但现在我想再限制一下。我不想允许从带有标签的所有 pod 到端口 61678 上的所有目的地的出口,app: prometheus而是只允许流向带有标签的 pod 的流量k8s-app: aws-node

所以我将政策更改为:

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: monitoring-network-policy-prometheus-jbn
  namespace: monitoring
spec:
  podSelector:
    matchLabels:
      app: prometheus
  policyTypes:
    - Egress
  egress:
    - to:
      - podSelector:
          matchLabels:
            k8s-app: aws-node
Run Code Online (Sandbox Code Playgroud)

根据https://kubernetes.io/docs/concepts/services-networking/network-policies/的政策,看起来像这样

  ...
  ingress:
  - from:
    - namespaceSelector:
        matchLabels:
          user: alice
    - podSelector:
        matchLabels:
          role: client
  ...
Run Code Online (Sandbox Code Playgroud)

被描述为 allows connections from Pods in the local Namespace with the label role=client, or from any Pod in any namespace with the label user=alice.

所以我认为这将与k8s-app: aws node位于kube-system任何端口上的命名空间中带有标签的 Pod 相匹配。但是当我尝试连接到带有该标签的 Pod 时,我遇到了超时。

这是我正在连接的 Pod

 kubectl get pods -n kube-system -l k8s-app=aws-node
NAME             READY   STATUS    RESTARTS   AGE
aws-node-ngmnd   1/1     Running   0          46h
Run Code Online (Sandbox Code Playgroud)

我正在将 AWS EKS 与 Calio 网络插件结合使用。

我在这里缺少什么?

aci*_*uji 5

发生这种情况是因为您省略了将 放入namespaceSelector清单中,默认情况下,如果未预设,系统将选择与策略自己的命名空间namespaceSelector匹配的 Pod 。PodSelector

看这里:

podSelector
这是一个选择 Pod 的标签选择器。该字段遵循标准标签选择器语义;如果存在但为空,则它会选择所有 Pod。如果还设置了NamespaceSelector,那么NetworkPolicyPeer会整体选择NamespaceSelector选择的Namespace中与PodSelector匹配的Pod。否则,它会在策略自己的 Namespace 中选择与 PodSelector 匹配的 Pod

你能做什么来解决它?您可以根据文档设置空名称空间选择器:

namespaceSelector
使用集群范围的标签选择命名空间。该字段遵循标准标签选择器语义;如果存在但为空,则它选择所有名称空间。如果还设置了PodSelector,那么NetworkPolicyPeer会整体选择NamespaceSelector选择的Namespaces中与PodSelector匹配的Pod。否则,它会选择 NamespaceSelector 选择的命名空间中的所有 Pod。

参考网络策略Peer

我重现了这个问题,文档是正确的,但对于实际上应该是空的地方有点误导。所以括号应该放在matchLabels

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: monitoring-network-policy-prometheus-jbn
  namespace: monitoring
spec:
  podSelector:
    matchLabels:
      app: prometheus
  policyTypes:
    - Egress
  egress:
    - to:
      - podSelector:
          matchLabels:
            k8s-app: aws-node
        namespaceSelector:
          matchLabels: {}
Run Code Online (Sandbox Code Playgroud)

回答您对 calico 是否可能引起某些问题的担忧。事实上确实如此,但应该如此。为了使网络策略生效,您需要运行网络插件来强制执行它们。

归档时间:

查看次数:

1669 次

最近记录:

4 年,8 月 前
相关归档
如何在Kubernetes节点处于"未就绪"状态时进行调试 32
Kubernetes - 将多个命令传递给容器 25
Kubernetes 中来自 ConfigMap 的自定义 nginx.conf 11
Google 容器集群 VS 托管实例组 10
使用 Kustomize 替换列表中项目的内容 8
Kubernetes API pod拒绝连接 5
如何在GKE托管的Kubernetes中更新Kubernetes Dashboard? 5
将 helm 连接到不同 k8s 集群中的多个分蘖 4
如何在application.yml中使用quarkus.kubernetes-config.secrets.enabled? 3
Always 和 IfNotPresent 之间的区别 imagePullPolicy 3
难疑归档
使用jQuery为复选框设置"选中"? 3988
在JavaScript中编码URL? 2392
如何在Git中获取当前分支名称? 2321
JavaScript .prototype如何工作? 1988
如何以MS Word保留格式和语法高亮显示代码片段? 1877
静态类变量是否可能? 1824
INNER JOIN,LEFT JOIN,RIGHT JOIN和FULL JOIN之间有什么区别? 1602
我应该在哪里将<script>标记放在HTML标记中? 1392
如何在find中排除目录.命令 1250
Ukkonen的简明英语后缀树算法 1065