简体中文

创建网络策略

INFO

平台现提供两种不同的网络策略 UI。旧版 UI 为兼容性维护而保留，新版 UI 更加灵活，并提供原生 YAML 编辑器。我们推荐使用新版。

请联系平台管理员开启 network-policy-next 功能门控，以访问新版 UI。

NetworkPolicy 是一个命名空间范围的 Kubernetes 资源，由 CNI 插件实现。通过网络策略，您可以控制 Pod 的网络流量，实现网络隔离，降低攻击风险。

默认情况下，所有 Pod 可以自由通信，允许来自任何源的入口和出口流量。当应用 NetworkPolicy 后，目标 Pod 只接受符合策略规范的流量。

WARNING

网络策略仅适用于容器流量。不影响以 hostNetwork 模式运行的 Pod。

示例 NetworkPolicy：

# example-network-policy.yaml
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: example
  namespace: demo-1
  annotations:
    cpaas.io/display-name: test
spec:
  podSelector:
    matchLabels:
      pod-template-hash: 55c84b59bb
  ingress:
    - ports:
        - protocol: TCP
          port: 8989
      from:
        - podSelector:
            matchLabels:
              kubevirt.io/vm: test
  egress:
    - ports:
        - protocol: TCP
          port: 80
      to:
        - ipBlock:
            cidr: 192.168.66.221/23
            except: []
  policyTypes:
    - Ingress
    - Egress

from 和 to 对等体支持 namespaceSelector、podSelector、ipBlock

通过 Web 控制台创建 NetworkPolicy

进入 Container Platform。
在左侧导航栏点击 Network > Network Policies。
点击 Create Network Policy。
参考以下说明完成相关配置。

区域	参数		说明
目标 Pod	Pod 选择器		以键值对形式输入目标 Pod 的标签；若不设置，则应用于当前命名空间内所有 Pod。
目标 Pod	当前策略影响的目标 Pod 预览		点击 Preview 查看当前网络策略影响的目标 Pod。
入口流量	阻止所有入口流量		阻止所有到目标 Pod 的入口流量。注意: 如果在 YAML 的 `spec.policyTypes` 字段中添加了 Ingress，但未配置具体规则，切换回表单时会自动勾选阻止所有入口流量选项。如果同时删除了 YAML 中的 `spec.ingress`、`spec.egress` 和 `spec.policyTypes` 字段，切换回表单时也会自动勾选阻止所有入口流量选项。
	规则说明：规则中添加多个来源时，它们之间是逻辑上的或关系。	当前命名空间内的 Pod	匹配当前命名空间内指定标签的 Pod；只有匹配的 Pod 可以访问目标 Pod。您可以点击 Preview 查看当前规则影响的 Pod。若未配置此项，默认允许当前命名空间内所有 Pod 访问目标 Pod。
		当前集群内的 Pod	匹配集群内指定标签的命名空间或 Pod；只有匹配的 Pod 可以访问目标 Pod。您可以点击 Preview 查看当前规则影响的 Pod。如果同时配置了命名空间选择器和 Pod 选择器，则取两者的交集，即从指定命名空间中选择具有指定标签的 Pod。若未配置此项，默认允许集群内所有命名空间的 Pod 访问目标 Pod。
		IP 范围	输入允许访问目标 Pod 的 CIDR，并可排除不允许访问的 CIDR 范围。若未配置此项，任何流量均可访问目标 Pod。说明：可以通过 example_ip/32 形式添加排除项，以排除单个 IP 地址。
	端口		匹配指定协议和端口的流量；可添加数字端口或 Pod 上的端口名称。若未配置此项，则匹配所有端口。
出口流量	阻止所有出口流量		阻止所有到目标 Pod 的出口流量。注意: 如果在 YAML 的 `spec.policyTypes` 字段中添加了 Egress，但未配置具体规则，切换回表单时会自动勾选阻止所有出口流量选项。
	其他参数		与入口流量参数类似，此处不再赘述。

点击 Create。

通过 CLI 创建 NetworkPolicy

kubectl apply -f example-network-policy.yaml

参考

如需更多详情，请查阅官方文档 Network Policies。

创建网络策略

INFO

平台现提供两种不同的网络策略 UI。旧版 UI 为兼容性维护而保留，新版 UI 更加灵活，并提供原生 YAML 编辑器。我们推荐使用新版。

请联系平台管理员开启 network-policy-next 功能门控，以访问新版 UI。

NetworkPolicy 是一个命名空间范围的 Kubernetes 资源，由 CNI 插件实现。通过网络策略，您可以控制 Pod 的网络流量，实现网络隔离，降低攻击风险。

默认情况下，所有 Pod 可以自由通信，允许来自任何源的入口和出口流量。当应用 NetworkPolicy 后，目标 Pod 只接受符合策略规范的流量。

WARNING

网络策略仅适用于容器流量。不影响以 hostNetwork 模式运行的 Pod。

示例 NetworkPolicy：

# example-network-policy.yaml
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: example
  namespace: demo-1
  annotations:
    cpaas.io/display-name: test
spec:
  podSelector:
    matchLabels:
      pod-template-hash: 55c84b59bb
  ingress:
    - ports:
        - protocol: TCP
          port: 8989
      from:
        - podSelector:
            matchLabels:
              kubevirt.io/vm: test
  egress:
    - ports:
        - protocol: TCP
          port: 80
      to:
        - ipBlock:
            cidr: 192.168.66.221/23
            except: []
  policyTypes:
    - Ingress
    - Egress

from 和 to 对等体支持 namespaceSelector、podSelector、ipBlock

通过 Web 控制台创建 NetworkPolicy

进入 Container Platform。
在左侧导航栏点击 Network > Network Policies。
点击 Create Network Policy。
参考以下说明完成相关配置。

区域	参数		说明
目标 Pod	Pod 选择器		以键值对形式输入目标 Pod 的标签；若不设置，则应用于当前命名空间内所有 Pod。
目标 Pod	当前策略影响的目标 Pod 预览		点击 Preview 查看当前网络策略影响的目标 Pod。
入口流量	阻止所有入口流量		阻止所有到目标 Pod 的入口流量。注意: 如果在 YAML 的 `spec.policyTypes` 字段中添加了 Ingress，但未配置具体规则，切换回表单时会自动勾选阻止所有入口流量选项。如果同时删除了 YAML 中的 `spec.ingress`、`spec.egress` 和 `spec.policyTypes` 字段，切换回表单时也会自动勾选阻止所有入口流量选项。
	规则说明：规则中添加多个来源时，它们之间是逻辑上的或关系。	当前命名空间内的 Pod	匹配当前命名空间内指定标签的 Pod；只有匹配的 Pod 可以访问目标 Pod。您可以点击 Preview 查看当前规则影响的 Pod。若未配置此项，默认允许当前命名空间内所有 Pod 访问目标 Pod。
		当前集群内的 Pod	匹配集群内指定标签的命名空间或 Pod；只有匹配的 Pod 可以访问目标 Pod。您可以点击 Preview 查看当前规则影响的 Pod。如果同时配置了命名空间选择器和 Pod 选择器，则取两者的交集，即从指定命名空间中选择具有指定标签的 Pod。若未配置此项，默认允许集群内所有命名空间的 Pod 访问目标 Pod。
		IP 范围	输入允许访问目标 Pod 的 CIDR，并可排除不允许访问的 CIDR 范围。若未配置此项，任何流量均可访问目标 Pod。说明：可以通过 example_ip/32 形式添加排除项，以排除单个 IP 地址。
	端口		匹配指定协议和端口的流量；可添加数字端口或 Pod 上的端口名称。若未配置此项，则匹配所有端口。
出口流量	阻止所有出口流量		阻止所有到目标 Pod 的出口流量。注意: 如果在 YAML 的 `spec.policyTypes` 字段中添加了 Egress，但未配置具体规则，切换回表单时会自动勾选阻止所有出口流量选项。
	其他参数		与入口流量参数类似，此处不再赘述。

点击 Create。

通过 CLI 创建 NetworkPolicy

kubectl apply -f example-network-policy.yaml

参考

如需更多详情，请查阅官方文档 Network Policies。

实用指南

架构

核心概念

功能指南

如何操作

故障排除

概念

功能指南

实用指南

故障排除

安装

核心概念

操作指南

实用指南

数据容灾

核心概念

操作指南

实用指南

操作指南

实用指南

合规

使用指南

API Refiner

用户

功能指南

用户组

功能指南

角色

功能指南

IDP

功能指南

故障排除

用户策略

功能指南

概览

镜像

操作指南

实用指南

虚拟机

操作指南

实用指南

问题处理

网络

操作指南

实用指南

存储

操作指南

备份和恢复

操作指南

核心概念

命名空间

创建应用

应用的操作与维护

Application Rollout

KEDA(Kubernetes Event-driven Autoscaling)

实用指南

计算组件

配置

应用可观测

实用指南

安装

使用指南

安装

升级

功能指南

How To

概念

功能指南

Argo CD 核心概念

Alauda Container Platform GitOps 核心概念

创建 GitOps 应用

GitOps 可观测

架构

操作指南

实用指南

操作指南

实用指南

问题处理

架构

操作指南