gpt4 book ai didi

Kubernetes NetworkPolicy 允许负载均衡器

转载 作者:行者123 更新时间:2023-12-03 11:15:21 26 4
gpt4 key购买 nike

我有一个在 Google Kubernetes Engine (GKE) 上运行并启用了网络策略支持的 Kubernetes 集群。
我为它创建了一个 nginx 部署和负载均衡器:

kubectl run nginx --image=nginx
kubectl expose deployment nginx --port=80 --type=LoadBalancer

然后我创建了这个网络策略以确保集群中的其他 pod 将无法再连接到它:
kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
name: access-nginx
spec:
podSelector:
matchLabels:
run: nginx
ingress:
- from:
- namespaceSelector:
matchLabels:
name: kube-system
ports:
- protocol: TCP
port: 80

现在我集群中的其他 pod 无法访问它(如预期的那样):
kubectl run busybox --rm -ti --image=busybox /bin/sh
If you don't see a command prompt, try pressing enter.
/ # wget --spider --timeout=1 nginx
Connecting to nginx (10.63.254.50:80)
wget: download timed out

然而,令我惊讶的是,使用我的外部浏览器我也无法通过负载均衡器连接到它:
open http://$(kubectl get svc nginx --output=jsonpath={.status.loadBalancer.ingress[0].ip})

如果我删除该策略,它会再次开始工作。

所以,我的问题是:如何阻止其他 pod 访问 nginx,但保持通过负载均衡器的访问处于打开状态?

最佳答案

我在我的 Network Policy recipes repository 中谈到了这个。 .
“在拒绝本地流量时允许外部负载均衡器”不是一个有意义的用例,因此不可能使用网络策略。
对于 Service type=LoadBalancer 和 Ingress资源要工作,您必须允许所有流量到这些资源选择的 pod。
如果你真的想要,你可以使用 from.ipBlock.cidrfrom.ipBlock.cidr.except允许来自 0.0.0.0/0 的流量的资源(所有 IPv4),然后不包括 10.0.0.0/8 (或 GKE 使用的任何私有(private) IP 范围)。

关于Kubernetes NetworkPolicy 允许负载均衡器,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/47327554/

26 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com