1

上下文:我将 EKS 与 calico 插件一起用于网络策略和托管节点组。

我有一个名为“simon-test”的命名空间,我想拒绝从命名空间到其他人的所有出口(因此 simon-test 中的 pod 将无法看到其他命名空间中的其他 pod)。我尝试使用以下网络策略(似乎按预期工作)来做到这一点:

kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
  name: default-deny-all-egress
  namespace: simon-test
spec:
  policyTypes:
  - Egress
  podSelector: {}
  egress: []

但这也阻止了命名空间内的所有内部网络。所以为了解决这个问题,我创建了另一个网络策略,它应该允许命名空间内的所有流量:

kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
  name: allow-internal
  namespace: simon-test
spec:
  podSelector:
    matchLabels: {}
  ingress:
  - from:
    - namespaceSelector:
        matchLabels:
          name: simon-test

但这并不能解决问题,因为命名空间内仍然没有网络。我很好奇为什么我仍然可以从另一个命名空间中的另一个 pod 到达“simon-test”(我nc -nlvp 9999在“simon-test”中的一个 pod 中运行,并且nc -z ip-of-pod-in-simon-test-ns 9999从另一个命名空间的一个 pod 中运行它可以到达它,但是当 ping来自 simon-test 的 pod 不能。)

4

1 回答 1

2

我不确定印花布/网络策略的内部细节,但我能够通过以下方式解决这个问题:

  ingress:
  - from:
    - namespaceSelector:
        matchLabels:
          name: simon-test

  1. 上面的入口规则不起作用,因为命名空间上没有“name=simon-test”标签。我认为默认情况下所有命名空间都有一个名为“名称”的标签,您可以从这里引用它,但似乎并非如此。为了解决这个问题,我必须添加一个标签: kubectl label ns simontest name=simon-test

  2. 对于第二个问题:I am curious why I can still reach "simon-test" from another pod in another namespace though (when ingress was blocked)这是因为我试图从 kube-system 中的 pod 访问“simon-test”ns,而该 pod 恰好启用了 hostNetwork,因此 pod 分配的 IP 地址恰好是 IP k8s 节点的地址,(而不是 pod 的 IP,显然网络策略可以区分何时将 IP 分配给 pod 和 k8s 节点?)因此不会被网络策略过滤。

于 2020-10-07T00:47:19.977 回答