问题标签 [kubernetes-networkpolicy]

我使用 2 个 pod 进行了部署：

然后用 clusterip 公开它，然后创建一个如下所示的网络策略：

但是当我使用不包含标签（角色=前端）的busybox pod通过wget请求它时，我仍然得到nginx的html页面。

我想知道为什么 ？

任何帮助都会非常感激。谢谢 ：）

仅启用出口网络策略时，重新启动 Pod 后，所有就绪性和活动性检查都会失败。

这是我在描述 pod 时看到的：

警告 Unhealthy 115s (x7 over 2m55s) kubelet, Readiness probe failed: Get http://10.202.158.105:80/health/ready : dial tcp 10.202.158.105:80: connect: connection denied 警告 Unhealthy 115s (x7 over 2m55s) kubelet , Liveness probe failed: Get http://10.202.158.105:80/health/live : dial tcp 10.202.158.105:80: connect: connection denied

如果我禁用这些策略，健康检查将立即恢复运行。如果 pod 在应用网络策略之前已经健康，它将继续工作。

我还尝试使用此策略将每个命名空间列入白名单：

我很难找到有关如何解决此问题的任何指导。是否需要启用出口策略以允许 kubelet 监控 pod 的健康检查？

pod 在 Azure Kubernetes 服务中运行并使用 Calico 网络。

我读过一些资料表明同时使用 Istio 和 GKE 网络策略是一个好主意，但从安全角度来看这样做的好处还不是很清楚？

我在获取基本NetworkPolicy资源来阻止 Azure Kubernetes 服务 (AKS) 实例上的所有入口流量时遇到了一些问题。AKS 设置有azure网络插件（即 Azure CNI）。

我们的问题是，通过 VNet 对等本地网络，AKS 工作负载现在暴露给来自内部网络的不良行为者。所以我们有一个入口控制器，但想让它成为所有非系统工作负载的唯一入口点。

这是NetworkPolicy资源：

在不同命名空间中的 Pod 上，我仍然可以连接到 Service 端点和 Pod IP 地址（如 中所示kubectl get pods --output=wide --namespace=hello-namespace-2）。在同一 VNet 中的 Azure VM 上，我也可以直接连接到 IP 地址。

Namespace、StatefulSet、Service、Ingress 和 NetworkPolicy 定义如下。

这就像没有安装网络控制器一样，我认为 Azure CNI 的azure网络插件代表了它。我们是否必须明确安装像 Calico 这样的网络控制器？

非常感谢对此行为的任何见解。

谢谢！

伙计们，我对 openshift 非常陌生，我部署了一个 Azure Redhat Openshift 集群，并且可以以管理员身份访问 Web 控制台。

我通过直接提供 github url 使用内置 S2I 模式在 Openshift 集群中部署了一个示例应用程序，并且该应用程序已成功部署。

现在我的要求是实现 DNSConfig 和 Ingress/Egress NetworkPolicy。

我很新，无法理解 DNSConfig 和 Ingress/Egress NetworkPolicy 到底是什么。

有人可以解释一下这些是什么以及我们如何将这些实现到部署在该 Azure openshift 控制台中的演示应用程序中。

请帮忙。

提前致谢。

我需要创建一个网络策略，它只接受特定端口（例如端口 9200）上同一命名空间内的所有 Pod 之间的流量（入口 + 出口）。

我使用标记了名为 calico 的命名空间kubectl label ns calico type=clico

我尝试了以下策略，但在创建它之后，我创建了一个 pod 来测试端口 9200 上的 telnet，这是不允许的。

假设我有两个不同 podSelector 的 2 个网络策略

政策一：

不允许任何由 app=core 标记的 pod 的出口流量

政策二：

对于由 type=internal 标记的 pod，允许到 CIDR 10.0.0.0/8 的出口流量

荚：

1 个由两个标签 app=core、type=internal 标记的 pod

有没有办法知道这些规则的组合是什么？

使用的网络插件是 Canal

我们正在使用 Rancher 以 Canal 作为 CNI 来设置集群。我们决定使用 Traefik 作为 Ingress Controller，并希望创建一个 NetworkPolicy。我们禁用了 ProjectIsolation，并且 Traefik 正在 kube-system 命名空间的 System 项目中运行。

我创建了这个政策：

但不知何故，我们无法让它发挥作用。连接超时，仅此而已。这个政策有什么大问题吗？我对 NetworkPolicies 有什么不明白的地方？

提前致谢

假设我有一个app=foo在命名空间中有标签的 pod。

我只希望这个 pod 可以从同一命名空间中的其他 2 个 pod 访问（并且没有其他 pod 能够访问它）通过NetworkPolicy

这些 pod 具有以下标签

吊舱1

我的问题是我是否能够在以下部分中定义2个podSelector字段ingressNetworkPolicy

上面的NetworkPolicy定义能满足我的要求吗？

最近开始使用 AKS 群集上的 Calico 网络策略。该计划是阻止新命名空间的所有流量，但目的地为标有“kube-dns”的 coredeDNS pod 的流量除外。该策略不应应用于命名空间：default、kubesystem 和 calico-system。

将默认命名空间标记为：name=default

我从 Calico 网站上选择了一个示例并添加了默认命名空间，链接：https ://docs.projectcalico.org/security/kubernetes-default-deny 。但不知何故，该策略也适用于不应该是这种情况的默认命名空间？我已经标记了默认命名空间。

还检查了文档：https ://docs.projectcalico.org/reference/resources/globalnetworkpolicy

has(projectcalico.org/name) -->匹配带有标签 projectcalico.org/name 的资源，与值无关

&& projectcalico.org/name not in {"kube-system", "calico-system", "default"} -->匹配没有标签 projectcalico.org/name 或标签 projectcalico.org/name 且值不在给定集合 {"kube-system", "calico-system"}

含义 (?)：它将适用于任何命名空间，但带有标签且值设置为 kube-system 或 calico-system 的命名空间除外。但如果是这样的话，为什么它不起作用呢？我在默认命名空间中添加了一个标签：name=default