【发布时间】:2019-03-28 19:04:05
【问题描述】:
我正在编写 Kubernetes 集群的网络策略。如何在出口策略中指定要授权的单个 IP 地址,而不是授权整个 IP 地址范围?
【问题讨论】:
标签: kubernetes configuration kubernetes-networkpolicy
【发布时间】:2019-03-28 19:04:05
【问题描述】:
一个基于official docs的例子:
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: test-network-policy
namespace: default
spec:
podSelector:
matchLabels:
role: db
policyTypes:
- Egress
egress:
- to:
- ipBlock:
cidr: 10.11.12.13/32
ports:
- protocol: TCP
port: 5978
必须使用/32 子网前缀长度,这表明您将规则的范围限制在这个IP 地址。
【讨论】:
-
@Bernard:这是否允许来自相同 IP(10.11.12.13)但来自不同端口的出口调用,比如说 443?或仅允许来自 10.11.12.13 IP 和 5978 端口的出口呼叫?
-
@solveit 上述规则中的 IP/端口对指定了出口流量的目的地。因此,如果您想更改规则以匹配目标端口,只需更改
.spec.egress.ports.port字段即可。另一方面,如果您正在研究如何限制入口流量(从 IP 到集群),则需要使用.spec.ingress规则而不是本示例中使用的.spec.egress。两者都有相似的逻辑和语法。