#Административная сетевая политика

#Примечания

• В настоящее время административные сетевые политики поддерживаются только в Kube-OVN CNI.

• В сетевом режиме Kube-OVN эта функция находится на уровне альфа-стадии зрелости.

• В кластере может существовать только одна Baseline Admin Network Policy.

AdminNetworkPolicy

# example-anp.yaml
apiVersion: policy.networking.k8s.io/v1alpha1
kind: AdminNetworkPolicy
metadata:
  name: example-anp
spec:
  priority: 3
  subject:
    pods:
      namespaceSelector:
        matchLabels: {}
      podSelector:
        matchLabels:
          pod-template-hash: 55f66dd67d
  ingress:
    - name: ingress1
      action: Allow
      ports:
        - portNumber:
            protocol: TCP
            port: 8090
      from:
        - pods:
            namespaceSelector:
              matchLabels: {}
            podSelector:
              matchLabels:
                pod-template-hash: 55c84b59bb
  egress:
    - name: egress1
      action: Allow
      ports:
        - portNumber:
            protocol: TCP
            port: 8080
      to:
        - networks:
            - 10.1.1.1/23

BaselineAdminNetworkpolicy:

# default.yaml
apiVersion: policy.networking.k8s.io/v1alpha1
kind: BaselineAdminNetworkPolicy
metadata:
  name: default
spec:
  subject:
    pods:
      namespaceSelector:
        matchLabels: {}
      podSelector:
        matchLabels:
          pod-template-hash: 55c84b59bb
  ingress:
    - name: ingress1
      action: Allow
      ports:
        - portNumber:
            protocol: TCP
            port: 8888
      from:
        - pods:
            namespaceSelector:
              matchLabels: {}
            podSelector:
              matchLabels:
                pod-template-hash: 55f66dd67d
  egress:
    - name: egress1
      action: Allow
      ports:
        - portNumber:
            protocol: TCP
            port: 8080
      to:
        - networks:
            - 3.3.3.3/23

#Создание AdminNetworkPolicy или BaselineAdminNetworkPolicy через веб-консоль

1. Перейдите в раздел Administrator.

2. В левой навигационной панели выберите Network > Cluster Network Policies.

3. Нажмите Create Admin Network Policies или Configure the Baseline Admin Network Policy.

4. Следуйте инструкциям ниже для завершения соответствующей настройки.

   Область	Параметр		Описание
   Основная информация	Имя		Имя Admin Network Policy или Baseline Admin Network Policy.
   	Приоритет		Определяет порядок оценки и применения политик. Меньшие числовые значения означают более высокий приоритет. Примечание: baseline admin network policy не имеет приоритета.
   Целевой Pod	Namespace Selector		Введите метки целевых Namespace в формате ключ-значение. Если не указано, политика применяется ко всем Namespace в текущем кластере. При указании политика применяется только к подам в namespace, соответствующих этим селекторам.
   	Предварительный просмотр целевых Pod, затронутых текущей политикой		Нажмите Preview, чтобы увидеть целевые Pod, на которые влияет эта сетевая политика.
   	Pod Selector		Введите метки целевых Pod в формате ключ-значение. Если не указано, политика применяется ко всем Pod в текущем namespace.
   	Предварительный просмотр целевых Pod, затронутых текущей политикой		Нажмите Preview, чтобы увидеть целевые Pod, на которые влияет эта сетевая политика.
   Ingress	Действие с трафиком		Определяет, как обрабатывать входящий трафик к целевым Pod. Имеет три режима: Allow (разрешить трафик), Deny (запретить трафик) и Pass (пропустить все административные сетевые политики с более низким приоритетом, позволяя обработку трафика Network Policy или, если Network Policy отсутствует, Baseline Admin Network Policy). Примечание: baseline admin network policy не поддерживает действие Pass.
   	Правило Описание: Если в правиле добавлено несколько источников, между ними действует логическая операция ИЛИ.	Pod Selector	Соответствует namespace или Pod с указанными метками в кластере; только соответствующие Pod могут получить доступ к целевому Pod. Можно нажать Preview, чтобы увидеть Pod, затронутые текущим правилом. Если настроены и namespace, и Pod селекторы, берётся их пересечение, то есть выбираются Pod с указанными метками из указанных namespace. Если этот параметр не настроен, по умолчанию все Pod во всех namespace кластера могут получить доступ к целевому Pod.
   		Namespace Selector	Соответствует Pod с указанными метками в текущем namespace; только соответствующие Pod могут получить доступ к целевому Pod. Можно нажать Preview, чтобы увидеть Pod, затронутые текущим правилом. Если этот параметр не настроен, по умолчанию все Pod в текущем namespace имеют доступ к целевому Pod.
   	Порты		Соответствует трафику на указанных протоколах и портах; можно добавить числовые порты или имена портов на Pod. Если этот параметр не настроен, будут соответствовать все порты.
   Egress	Правило Описание: Если в правиле добавлено несколько источников, между ними действует логическая операция ИЛИ.	Node Selector	Определяет, к каким IP-адресам узлов целевые Pod могут обращаться. Можно выбрать узлы по меткам, чтобы контролировать доступные IP-адреса узлов для Pod.
   		IP Range	Укажите CIDR-диапазоны, к которым целевые Pod могут подключаться. Если этот параметр не настроен, по умолчанию целевые Pod могут подключаться к любому IP.
   		Другие параметры	Аналогично параметрам Ingress, с теми же вариантами настройки и поведением.

#Создание AdminNetworkPolicy или BaselineAdminNetworkPolicy через CLI

kubectl apply -f example-anp.yaml -f default.yaml