创建网络策略
INFO
平台现提供两种不同的网络策略 UI。旧版 UI 为兼容性维护而保留,新版 UI 更加灵活,并提供原生 YAML 编辑器。我们推荐使用新版。
请联系平台管理员开启 network-policy-next 功能门控,以访问新版 UI。
NetworkPolicy 是一个命名空间范围的 Kubernetes 资源,由 CNI 插件实现。 通过网络策略,您可以控制 Pod 的网络流量,实现网络隔离,降低攻击风险。
默认情况下,所有 Pod 可以自由通信,允许来自任何源的入口和出口流量。 当应用 NetworkPolicy 后,目标 Pod 只接受符合策略规范的流量。
WARNING
网络策略仅适用于容器流量。不影响以 hostNetwork 模式运行的 Pod。
示例 NetworkPolicy:
from和to对等体支持namespaceSelector、podSelector、ipBlock
目录
通过 Web 控制台创建 NetworkPolicy
-
进入 Container Platform。
-
在左侧导航栏点击 Network > Network Policies。
-
点击 Create Network Policy。
-
参考以下说明完成相关配置。
| 区域 | 参数 | 说明 | |
|---|---|---|---|
| 目标 Pod | Pod 选择器 | 以键值对形式输入目标 Pod 的标签;若不设置,则应用于当前命名空间内所有 Pod。 | |
| 当前策略影响的目标 Pod 预览 | 点击 Preview 查看当前网络策略影响的目标 Pod。 | ||
| 入口流量 | 阻止所有入口流量 | 阻止所有到目标 Pod 的入口流量。 注意:
| |
| 规则 说明:规则中添加多个来源时,它们之间是逻辑上的 或 关系。 | 当前命名空间内的 Pod | 匹配当前命名空间内指定标签的 Pod;只有匹配的 Pod 可以访问目标 Pod。您可以点击 Preview 查看当前规则影响的 Pod。若未配置此项,默认允许当前命名空间内所有 Pod 访问目标 Pod。 | |
| 当前集群内的 Pod | 匹配集群内指定标签的命名空间或 Pod;只有匹配的 Pod 可以访问目标 Pod。您可以点击 Preview 查看当前规则影响的 Pod。
| ||
| IP 范围 | 输入允许访问目标 Pod 的 CIDR,并可排除不允许访问的 CIDR 范围。若未配置此项,任何流量均可访问目标 Pod。 说明:可以通过 example_ip/32 形式添加排除项,以排除单个 IP 地址。 | ||
| 端口 | 匹配指定协议和端口的流量;可添加数字端口或 Pod 上的端口名称。若未配置此项,则匹配所有端口。 | ||
| 出口流量 | 阻止所有出口流量 | 阻止所有到目标 Pod 的出口流量。 注意:
| |
| 其他参数 | 与 入口流量 参数类似,此处不再赘述。 | ||
- 点击 Create。
通过 CLI 创建 NetworkPolicy
参考
如需更多详情,请查阅官方文档 Network Policies。