Tôi hy vọng tất cả các bạn đang làm tốt và được an toàn.
Tôi có hai nhóm A và B ở hai không gian tên khác nhau.
Tôi ước rằng nhóm A trong không gian tên-a có quyền truy cập vào mọi nhóm trên các không gian tên khác, vì vậy tôi đã triển khai NetPol này từ tài liệu Kubernetes:
apiVersion: mạng.k8s.io/v1
loại: NetworkPolicy
metadata:
tên: allow_egress
không gian tên: không gian tên-a
thông số kỹ thuật:
podSelector:
trận đấuNhãn:
ứng dụng: một
đi ra:
- đến:
- không gian tênSelector: {}
loại chính sách:
- Đi ra
Bây giờ đối với nhóm B, mong muốn là nó chỉ nhận được lưu lượng truy cập từ không gian tên mà anh ấy được triển khai và vì vậy tôi đã sử dụng từ cùng một tài liệu:
apiVersion: mạng.k8s.io/v1
loại: NetworkPolicy
metadata:
tên: từ chối xâm nhập
không gian tên: không gian tên-b
thông số kỹ thuật:
podSelector:
trận đấuNhãn:
ứng dụng: b
xâm nhập:
- từ:
- podSelector: {}
loại chính sách:
- Xâm nhập
Sử dụng cấu hình này, tôi vẫn có thể truy cập dịch vụ hiển thị nhóm B từ nhóm A.Mặc dù tôi đã chỉ định trong NetworkPolicy thứ hai rằng nhóm B không nên chỉ chấp nhận lưu lượng truy cập từ các nhóm khác trong cùng một không gian tên.
Xin lưu ý rằng tôi đang cố gắng mô phỏng hai nhóm không biết về sự phát triển của nhau, vì vậy nhóm làm việc trong nhóm B không biết nhóm A đã viết gì. Có điều gì tôi đang thiếu không?
Cảm ơn bạn!
