#Настройка сетевых политик кластера

Сетевые политики кластера отвечают за управление правилами контроля доступа на уровне проектов. При включении этой функции разные проекты по умолчанию изолируются друг от друга, и вычислительные компоненты в разных проектах не могут взаимодействовать по сети. Связь может быть организована путем добавления правил доступа одного проекта или доступа по IP-сегменту.

После настройки сетевые политики кластера будут синхронизированы с пространствами имён в кластере и могут быть просмотрены в модуле функции Network Policies платформы контейнеров.

#Примечания

• Эффективность сетевых политик кластера зависит от того, поддерживает ли используемый в кластере сетевой плагин сетевые политики.

  • Kube-OVN и Calico поддерживают сетевые политики.
  • Flannel не поддерживает сетевые политики.
  • При доступе к кластеру или использовании кастомного сетевого плагина можно обратиться к соответствующей документации для подтверждения поддержки.

• Функциональность находится на уровне Alpha в режиме сети Kube-OVN.

#Процедура

1. Перейдите в Platform Management.

2. В левой навигационной панели выберите Network Management > Cluster Network Policies.

3. Нажмите Configure Now.

4. Следуйте инструкциям ниже для завершения соответствующей настройки.

   Параметр настройки	Описание
   Полная изоляция между проектами	Включение или отключение переключателя полной изоляции между проектами, который включён по умолчанию и может быть выключен нажатием. При включении достигается сетевая изоляция между всеми проектами текущего кластера, и другим ресурсам запрещён доступ к любому проекту внутри кластера (например, внешним IP, балансировщикам нагрузки). Это не влияет на доступ проектов к ресурсам вне кластера.
   Доступ одного проекта	Параметр действует только при включённом переключателе Полная изоляция между проектами. Настройте исходный проект и целевой проект для однонаправленного доступа. Нажмите Add для добавления записи конфигурации, поддерживается несколько записей. В выпадающем списке исходный проект выберите проект, который будет иметь доступ к целевому проекту, или выберите все проекты; в списке целевой проект выберите проект, к которому будет осуществлён доступ.
   Доступ по IP-сегменту	Параметр действует только при включённом переключателе Полная изоляция между проектами. Настройте конкретный IP/сегмент и целевой проект для однонаправленного доступа. Нажмите Add для добавления записи конфигурации, поддерживается несколько записей. В поле ввода исходный IP-сегмент введите IP или CIDR-сегмент, который будет иметь доступ к целевому проекту; в списке целевой проект выберите проект, к которому будет осуществлён доступ.

5. Нажмите Configure.