kubernetes networkpolicy namespaceSelector 当命名空间没有标签时选择

Question

我正在尝试添加一个 calico 网络策略以允许我的命名空间与 kube-system 命名空间对话。但是在我的 k8s 集群中，kube-system 没有附加标签，因此我无法在其中选择 pod。以下是我尝试过但不起作用的方法。

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-kube-system
  namespace: advanced-policy-demo
spec:
  podSelector: {}       # select all pods in current namespace.
  policyTypes:
  - Ingress
  - Egress
  ingress:
  - from:
    - namespaceSelector:
        matchLabels: {}
      podSelector:
        matchLabels:
          tier: control-plane
  egress:
  - to:
    - namespaceSelector:
        matchLabels: {}
      podSelector:
        matchLabels:
          tier: control-plane

$ kubectl describe ns kube-system
Name:         kube-system
Labels:       <none>
Annotations:  <none>
Status:       Active

No resource quota.

No resource limits.

我有一种方法可以仅通过名称选择 namespace 吗？

Answer 1

是什么阻止您为此命名空间创建新标签？，如下所示:

kubectl label ns/kube-system calico=enabled