kubernetes - 如何将服务连接限制为Kubernetes中的Pod列表？

Question

我有一个包含三个pod(部署)app01，app02和db的 namespace 。 db通过名称为ClusterIP的dbsvc服务在集群中公开。我使用app01这样的群集DNS从app02和dbsvc.namespace.svc.cluster.local连接到服务。但是，我不希望任何人从我的 namespace 外部访问dbsvc。 (由于它是ClusterIP，因此无论如何都无法在群集外部访问它)。
换句话说，我只想从dbsvc.namespace.svc.cluster.local和app01限制对app02的访问。
我该如何实现？

Answer 1

可以使用支持Network Policy(CNI)的群集上的network plugin(CNI)来限制网络流量。
策略选择器特定于部署，因此以下是一些示例值:

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: app-network-policy
  namespace: namespace
spec:
  podSelector:
    matchLabels:
      role: db
  policyTypes:
  - Ingress
  ingress:
  - from:
    - namespaceSelector:
        matchLabels:
          project: myproject
    - podSelector:
        matchLabels:
          role: app
    ports:
    - protocol: TCP
      port: 3306