Kubernetes NetworkPolicy 允许负载均衡器

Question

我有一个在 Google Kubernetes Engine (GKE) 上运行并启用了网络策略支持的 Kubernetes 集群。
我为它创建了一个 nginx 部署和负载均衡器:

kubectl run nginx --image=nginx
kubectl expose deployment nginx --port=80 --type=LoadBalancer

然后我创建了这个网络策略以确保集群中的其他 pod 将无法再连接到它:

kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
  name: access-nginx
spec:
  podSelector:
    matchLabels:
      run: nginx
  ingress:
  - from:
      - namespaceSelector:
          matchLabels:
            name: kube-system
    ports:
    - protocol: TCP
      port: 80

现在我集群中的其他 pod 无法访问它(如预期的那样):

kubectl run busybox --rm -ti --image=busybox /bin/sh
If you don't see a command prompt, try pressing enter.
/ # wget --spider --timeout=1 nginx
Connecting to nginx (10.63.254.50:80)
wget: download timed out

然而，令我惊讶的是，使用我的外部浏览器我也无法通过负载均衡器连接到它:

open http://$(kubectl get svc nginx --output=jsonpath={.status.loadBalancer.ingress[0].ip})

如果我删除该策略，它会再次开始工作。

所以，我的问题是:如何阻止其他 pod 访问 nginx，但保持通过负载均衡器的访问处于打开状态？

Answer 1

我在我的 Network Policy recipes repository 中谈到了这个。 .
“在拒绝本地流量时允许外部负载均衡器”不是一个有意义的用例，因此不可能使用网络策略。
对于 Service type=LoadBalancer 和 Ingress资源要工作，您必须允许所有流量到这些资源选择的 pod。
如果你真的想要，你可以使用 from.ipBlock.cidr和 from.ipBlock.cidr.except允许来自 0.0.0.0/0 的流量的资源(所有 IPv4)，然后不包括 10.0.0.0/8 (或 GKE 使用的任何私有(private) IP 范围)。