安丘网站开发,湖北建设厅网站安全员名单,秦皇岛市保障性住房官网,网站闭站保护k8s网络策略 网络策略示例1示例2 网络策略
网络策略#xff08;Network Policy#xff09;#xff0c;用于限制Pod出入流量#xff0c;提供Pod级别和Namespace级别网络访问控制。 一些应用场景#xff1a;
应用程序间的访问控制。例如微服务A允许访问微服务B#xff0c… k8s网络策略 网络策略示例1示例2 网络策略
网络策略Network Policy用于限制Pod出入流量提供Pod级别和Namespace级别网络访问控制。 一些应用场景
应用程序间的访问控制。例如微服务A允许访问微服务B微服务C不能访问微服务A开发环境命名空间不能访问测试环境命名空间Pod当Pod暴露到外部时需要做Pod白名单多租户网络环境隔离
Pod网络入口方向隔离
基于Pod级网络隔离只允许特定对象访问Pod使用标签定义允许白名单上的IP地址或者IP段访问Pod基于Namespace级网络隔离多个命名空间A和B命名空间Pod完全隔离。
Pod网络出口方向隔离
拒绝某个Namespace上所有Pod访问外部基于目的IP的网络隔离只允许Pod访问白名单上的IP地址或者IP段基于目标端口的网络隔离只允许Pod访问白名单上的端口
示例1
需求 将default命名空间携带appweb标签的Pod隔离只允许default命名空间携带runclient标签的Pod访问80端口
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:name: test-network-policynamespace: default
spec:podSelector:matchLabels:app: webpolicyTypes:- Ingressingress:- from:- namespaceSelector:matchLabels:project: default- podSelector:matchLabels:run: clientports:- protocol: TCPport: 80示例2
需求 default命名空间下所有pod可以互相访问也可以访问其他命名空间Pod但其他命名空间不能访问default命名空间Pod
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:name: deny-from-other-namespacesnamespace: default
spec:podSelector: {} # 该字段为空默认全部podpolicyTypes:- Ingressingress:- from:- podSelector: {} # 该字段为空默认不允许
