kubernetes - 使用 NetworkPolicy 将 "kube-system"命名空间列入白名单-6ren

kubernetes - 使用 NetworkPolicy 将 "kube-system"命名空间列入白名单

转载作者：行者123 更新时间：2023-12-03 17:40:40

27

4

我有一个 Multi-Tenancy 集群，其中通过命名空间实现 Multi-Tenancy 。每个租户都有自己的命名空间。来自租户的 Pod 无法与其他租户的 Pod 通信。但是，每个租户中的某些 Pod 必须使用 Ingress 向 Internet 公开服务。

这是我走了多远(我正在使用 Calico):

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: tenant1-isolate-namespace
  namespace: tenant1
spec:
  policyTypes:
  - Ingress
  podSelector: {} # Select all pods in this namespace
  ingress:
  - from:
    - namespaceSelector:
        matchLabels:
          name: tenant1 # white list current namespace

为每个命名空间( tenant1 、 tenant2 、 ... )部署，这限制了其命名空间内 pod 之间的通信。但是，这会阻止 pod 来自 kube-system命名空间与此命名空间中的 Pod 对话。

然而， kube-system命名空间默认没有任何标签，所以我不能专门将这个命名空间列入白名单。

我通过手动给它一个标签找到了解决这个问题的(肮脏的)解决方法:

kubectl label namespace/kube-system permission=talk-to-all

并将白名单规则添加到网络策略中:

...
  - from:
    - namespaceSelector:
        matchLabels:
          permission: talk-to-all # allow namespaces that have the "talk-to-all privilege"

有没有更好的解决方案，不用手动给 kube-system一个标签？

编辑:我尝试另外添加一个“OR”规则，以专门允许来自标签为“app=nginx-ingress”的 pod 进行通信，但没有运气:

  - from
    ...
    - podSelector:
        matchLabels:
          app: nginx-ingress # Allow pods that have the app=nginx-ingress label

最佳答案

apiVersion: networking.k8s.io/v1

namespaceSelector 旨在仅通过标签匹配命名空间。无法按名称选择命名空间。

podSelector 只能选择与 NetworkPolicy 对象位于同一命名空间中的 pod。对于位于不同命名空间中的对象，只能选择整个命名空间。

以下是 Kubernetes 网络策略实现的示例:

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: test-network-policy
  namespace: default
spec:
  podSelector:
    matchLabels:
      role: db
  policyTypes:
  - Ingress
  - Egress
  ingress:
  - from:
    - ipBlock:
        cidr: 172.17.0.0/16
        except:
        - 172.17.1.0/24
    - namespaceSelector:
        matchLabels:
          project: myproject
    - podSelector:
        matchLabels:
          role: frontend
    ports:
    - protocol: TCP
      port: 6379
  egress:
  - to:
    - ipBlock:
        cidr: 10.0.0.0/24
    ports:
    - protocol: TCP
      port: 5978

关注此 link阅读对网络策略的整个概念的很好的解释，或者这个 link观看讲座。

apiVersion: projectcalico.org/v3

Calico API 为您提供了更多编写 NetworkPolicy 规则的选项，因此，在某些时候，您可以以更少的努力和突破性的方式实现您的目标。

例如，使用网络策略的 Calico 实现，您可以:

为规则设置操作(允许、拒绝、记录、通过)，

使用负匹配(protocol、notProtocol、selector、notSelector)，

应用更复杂的标签选择器(has(k), k not in { ‘v1’, ‘v2’ }),

将选择器与运算符 &&、

结合使用

使用端口范围(端口:[8080, "1234:5678", "named-port"])，

匹配其他命名空间中的 pod。

但是，您仍然只能通过标签匹配 namespace 。

考虑阅读印花布 documentation详情。

以下是 Calico 网络策略实现的示例:

apiVersion: projectcalico.org/v3
kind: NetworkPolicy
metadata:
  name: allow-tcp-6379
  namespace: production
spec:
  selector: role == 'database'
  types:
  - Ingress
  - Egress
  ingress:
  - action: Allow
    protocol: TCP
    source:
      selector: role == 'frontend'
    destination:
      ports:
      - 6379
  egress:
  - action: Allow

关于kubernetes - 使用 NetworkPolicy 将 "kube-system"命名空间列入白名单，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/50807579/

27

4

0

文章推荐： performance - Android Studio 性能缓慢

文章推荐： python-3.x - 如何计算numpy中的所有向量差对？

文章推荐： intellij-idea - 快速插入 TODO 行

PHP 命名空间组织、命名
我面临以下问题: 我有一个命名空间 Exception\* , 其中包含多种类型异常(exception)。我有一个命名空间 Exception\User\* ，其中包含一个特定类型的异常 (
单个气泡的 Highcharts 命名
新的 Highcharts v3.0 气泡图看起来很棒。是否可以用名称/一些文本注释和显示每个气泡？谢谢，奈杰尔。最佳答案您需要做两件事。首先，命名每个数据点(气泡): data: [ {
openssl - EVP_CIPHER* 命名
我通过使用 EVP_get_cipherbyname("AES-256-CTR") 获得了 EVP_CIPHER*，现在我想找到一种方法从 EVP_CIPHER* 返回到原始名称，在本例中为“AES-
javascript - 命名；在javascript中动态创建变量
为了避免 JavaScript 堆问题，我使用多个数组:family1、family2、family3 ...、dogs1、dogs2、dogs3 ... 使用示例:“family1 和 dogs1”
JavaScript 函数..命名？
我很难理解这段代码。这不是我熟悉的典型 Javascript 函数语法。这是一个命名函数吗？或者这是更新事件的回调？抱歉，我对新手问题很陌生，我对 JS 还很陌生。我了解正在发生的一切，除了这个函数语
python - 动态文件创建(命名)
是否可以在 python 中执行以下操作？ i=1 while True: w = open("POSCAR_i","w") i=i+1 if i<10:
函数的 JavaScript 命名
我问这个是因为我刚刚在一段代码上看到它: var myVar = function func(arg){ console.log(arg); } 我不明白为什么函数在为 myVar 定义之前被“
javax.命名.AuthenticationException
我正在尝试为 ActiveDirectory 创建上下文(客户端和服务器都是 Windows)，使用我的 Windows 凭据和 NTLM。这是我的代码: public void func() {
javax.命名.NameNotFoundException
我正在运行一个使用 JBoss5 容器的 ejb 示例。我正在使用一个例子 from here(Part one) . 在示例中，我在 JBoss 中部署了 bean，在 Tomcat 中部署了一个应
c# - 命名 BackgroundWorker
我希望能够命名一个 BackgroundWorker 以便于调试。这可能吗？最佳答案我必须尝试，但你不能只设置 Name BackgroundWorker 执行的 DoWork() 方法中的线程？
Android Activity 命名
我在 Android Activity 和其他类之间遇到了越来越多的命名冲突。我想知道你能不能告诉我你是如何避免这些的。遗憾的是，关于 SO 的相关问题并未涵盖我的特定命名问题。第一个例子我有一个
angular - 命名 socket 中的延迟加载模块抛出错误
当我尝试使用 loadChildren 加载模块以在命名 socket 中加载模块的组件时，出现抛出错误。有没有办法在命名的路由器 socket 中延迟加载模块？ //html //routing
bash - 开始通过 Cron 命名？
很难说出这里问的是什么。这个问题是模棱两可的、模糊的、不完整的、过于宽泛的或修辞的，无法以目前的形式得到合理的回答。如需帮助澄清这个问题以便重新打开它，visit the help center .
idris - 命名 v 未命名数据类型参数
在 Type Driven Development with Idris 第 6 章的代码中，我对这段代码感到困惑: data DataStore : Type -> Type where M
.net - 命名 bool 属性的良好指南
通常，如果有一个属性可以获取/设置状态值，我会使用“Is”，例如: Visibility: .IsVisible 但是对于获取/设置操作的属性，最好使用什么？喜欢: Casting shadows:
oop - 形容词的接口(interface)命名
好的，所以如果你可以很容易地想到一个名词，那么命名一个接口(interface)(或类)很容易:用户、窗口、数据库、流等。形容词或形容词的概念呢？例如有时间戳的东西(HasTimestamp、Tim
powershell - 命名 PowerShell 动词的良好准则是什么？
我刚开始学习 PowerShell，我想知道 Posh 中的 cmdlet(或高级功能，无论它们在 CTP3 中称为什么)是否有一些好的动词指南。如果我做一个get-verb，我可以看到很多。但我仍
jquery - 命名 jQuery 函数
$(".song").live('click', function songClick() { //do stuff }); 你能像上面那样命名一个函数，然后稍后再调用它吗？我尝试过，但没有成
SQL TABLE 命名。人与人
关闭。这个问题是opinion-based .它目前不接受答案。想改进这个问题？更新问题，以便 editing this post 可以用事实和引用来回答它. 7年前关闭。 Improve this
spring - 命名 DTO 和实体类
我的 Spring 应用程序中有两组类 - DTO 和实体。在阅读了 Bob 叔叔的 Clean Code 之后，我比以往任何时候都更喜欢正确命名事物。我坐下来重构我的一个 Spring 项目，但

首页

博学

6Ren·AI

商城

kubernetes - 使用 NetworkPolicy 将 "kube-system"命名空间列入白名单