0

我有一个具有 2 个以上节点的 GKE 集群(1.16)和一个 GKE Ingress HTTPS 负载均衡器。
我在上面部署了几个命名空间。
我想拒绝命名空间之间的所有流量,所以我使用的是在此处找到的配方。
但是,根据此文档(我的 externalTrafficPolicy 使用的是默认值Cluster):

如果 externalTrafficPolicy 未设置为 Local,则网络策略还必须允许来自集群中其他节点 IP 的连接。

如何在我的 NetworkPolicy 定义中允许来自集群中其他节点 IP 的连接?
我目前的定义是:

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: foo
spec:
  podSelector:
    matchLabels:
  ingress:
  - from:
    - podSelector: {}
    - ipBlock:
        cidr: 35.191.0.0/16
    - ipBlock:
        cidr: 130.211.0.0/22
4

1 回答 1

1

GKE 节点通过私有地址空间进行通信,因此您可以允许10.0.0.0/8(或更具体地)。

于 2020-10-01T15:53:33.813 回答