0

我一直在尝试在我的集群(k8s 裸机)上实施网络策略,但似乎没有在集群节点上运行的 Pod 上实施任何策略,仅在直接在主服务器上运行的 Pod 上实施。

我试过的:

  • 一个单一的命名空间,带有一个主节点和一个带有 calicoctl 的 calico CNI,带有 k8s 数据存储(我可以看到两个节点上运行的 calico/calicoctl 容器)
  • 两种 networkPolicy 类型(networking.k8s.io/v1 和 projectcalico.org/v3)
  • 应用简单的拒绝任何入口/出口策略并测试 ping 到 8.8.8.8(主节点上的 pod 被阻塞,其他节点上的 pod 仍然可以 ping)

感谢你的帮助

4

1 回答 1

1

发现问题出在我使用“hostNetwork”的部署中,它使用不属于 pod 网络的子网(因此 Calico 不知道)。

删除 'hostNetwork: true' 参数使容器获得了合适的 IP 和应用到它的网络策略。

于 2020-09-29T09:05:26.540 回答