#Настройка сетевых политик кластера

Сетевые политики кластера отвечают за управление правилами контроля доступа на уровне проектов. При включении этой функции разные проекты по умолчанию изолированы друг от друга, и вычислительные компоненты в разных проектах не могут взаимодействовать по сети. Связь может быть организована путем добавления правил Доступ между проектами или Доступ по IP-адресам.

После настройки сетевые политики кластера будут синхронизированы с namespace-ами в кластере и могут быть просмотрены в модуле функции Network Policies на платформе контейнеров.

#Примечания

• Эффективность сетевых политик кластера зависит от того, поддерживает ли используемый в кластере сетевой плагин сетевые политики.

  • Kube-OVN и Calico поддерживают сетевые политики.
  • Flannel не поддерживает сетевые политики.
  • При доступе к кластеру или использовании кастомного сетевого плагина можно обратиться к соответствующей документации для подтверждения поддержки.

• Функциональность находится на стадии Alpha при использовании сетевого режима Kube-OVN.

#Процедура

1. Перейдите в раздел Administrator.

2. В левой навигационной панели выберите Networking > Cluster Network Policies.

3. Нажмите Configure Now.

4. Следуйте инструкциям ниже для завершения соответствующей настройки.

   Параметр настройки	Описание
   Полная изоляция между проектами	Включение или отключение переключателя полной изоляции между проектами, который включен по умолчанию и может быть выключен нажатием. При включении достигается сетевая изоляция между всеми проектами текущего кластера, и другим ресурсам запрещен доступ к любому проекту внутри кластера (например, внешним IP, балансировщикам нагрузки). Это не влияет на доступ проектов к ресурсам вне кластера.
   Доступ одного проекта	Этот параметр действует только при включенном переключателе Полная изоляция между проектами. Настройте исходный проект и целевой проект для одностороннего доступа. Нажмите Add для добавления записи конфигурации, поддерживается несколько записей. В выпадающем списке исходный проект выберите проект, который будет иметь доступ к целевому проекту, или выберите все проекты; в выпадающем списке целевой проект выберите проект, к которому будет осуществлен доступ.
   Доступ по IP-сегменту	Этот параметр действует только при включенном переключателе Полная изоляция между проектами. Настройте конкретный IP/сегмент и целевой проект для одностороннего доступа. Нажмите Add для добавления записи конфигурации, поддерживается несколько записей. В поле ввода исходный IP-сегмент введите IP-адрес или CIDR-сегмент, который будет иметь доступ к целевому проекту; в выпадающем списке целевой проект выберите проект, к которому будет осуществлен доступ.

5. Нажмите Configure.