用于服务限制的 Kubernetes 网络策略

Question

我有许多命名空间和在每个命名空间上运行的多个服务。

我们在 Kubernetes ckuster 中使用 calico 插件。

寻找一种方法来限制黑白服务/入口的访问。

说，Service A、Service B 和 Service C 在 Namespace A 中运行。

我希望服务 B 访问服务 A，而不是服务 C。这可以通过 Kubernetes 中的网络策略来完成吗？任何示例都会有很大帮助。

另外，我不希望来自命名空间 B 的服务访问命名空间 A 中的任何服务。但是，我需要来自命名空间 C 的一些服务访问命名空间 A 中的一些服务。这可以使用 calico 来完成吗？

谢谢

Answer 1

是的，这完全有可能。

Kubernetes 网络策略同时支持入口/出口规则。还有三种类型的流量选择器：

• 基于ipBlock
• 基于命名空间选择器
• 基于 pod 选择器

您可以在 pod 上创建标签，并使用这些标签选择器来识别 pod 以应用策略。

这里是link 用于网络策略的 K8S api 文档。

这个github 存储库有很多例子。