问题标签 [kubernetes-networkpolicy]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
kubernetes - 如何在不禁用到 Kubernetes pod 的外部流量的情况下使用 NetworkPolicy 隔离命名空间中的 pod
我正在尝试将命名空间中的 pod 与其他命名空间隔离开来。我试图创建一个 NetworkPolicy:
此 NetworkPolicy 成功地将我的命名空间中的 pod 与另一个命名空间隔离开来。但是,一旦应用此策略,就会禁用到这些 pod 的所有外部流量。是否有任何方法仅阻止来自其他命名空间的流量并允许所有外部流量到 Pod。
kubernetes - Kubernetes NetworkPolicies 拒绝连接
我试图创造一个如图所示的情况。
我创建了网络策略,它应该阻止所有没有特定标签定义的入口和出口访问。
我尝试在没有标签(命令 1)和正确标签(命令 2)的情况下连接到 pod 前端,如下所示。
- kubectl run busybox --image=busybox --rm -it --restart=Never -- wget -O- http://frontend:30081 --timeout 2
- kubectl run busybox --image=busybox --rm -it --restart=Never --labels=app=frontend -- wget -O- http://frontend:30081 --timeout 2
我预计第一个不使用标签的命令将被阻止,第二个命令将允许通信,但在按下第二个命令后我看到输出“wget:无法连接到远程主机(10.109.223.254):连接被拒绝”。我是否错误地定义了网络策略?
kubernetes - 网络策略不允许在命名空间内进行通信
我无法设置对我来说很好的网络策略。这是同一命名空间中的 2 个 pod
我正在使用以下网络策略规范限制到 nfs-server pod 的流量:
我执行到 nginx pod 并且无法连接到 nfs-server pod
我的网络策略中是否遗漏了什么?命名空间中没有其他网络策略。
kubernetes - 我能否保证“kubernetes”服务在创建集群后保持一致的 ClusterIP,即使我尝试修改或重新创建它?
我们的一些 Pod 通过“kubernetes”服务访问 Kubernetes API。我们正在应用允许访问 K8S API 的网络策略,但我们发现完成此操作的唯一方法是查询“kubernetes”服务的 ClusterIP,并将其作为 ipBlock 包含在出口规则中在网络策略中。
具体来说,这个值:
“kubernetes”服务 ClusterIP 是否有可能更改为不同于在集群创建期间初始化的值?如果是这样,我们的配置可能会中断。我们希望这是不可能的,但我们正在寻找官方支持文档。
kubernetes - NetworkPolicy:允许除特定端口之外的所有端口
这是示例 NetworkPolicy,它允许连接到具有标签的 pod,hello并允许 53 TCP 和 UDP 上的端口连接并阻止所有端口。
我如何使它允许所有端口并阻止 53 TCP 和 UDP(出口)。
amazon-web-services - 网络策略无法正常工作,无法 curl http://169.254.169.254/latest/meta-data/
这是我的网络策略。我正在使用 calico 插件在 EKS 中申请
但是当我进入吊舱并做
我收到超时错误。它应该像我允许端口 80 一样运行。
kubernetes - 阻止所有流量流向选定标签的网络策略
在我们的集群中,我们在不同的节点池中运行两个版本的 API。现在我们每个版本的微服务流量从 pod1 > service1 > service2 > pod2 路由。我想使用网络策略来证明我们的 API 可以防止一个版本的 API 中的 Pod 与另一个版本通信。
下面是我为 1.1 版编写的网络策略示例。但是,这似乎阻碍了 1.1 节点池中的所有流量。
这是describe pod <podname>显示标签匹配的输出。
只是为了确认,我将以下语句添加到上面 pod 中运行的代码中。我能够在没有网络策略的情况下看到日志记录语句。当策略处于活动状态时,请求超时,并且找不到日志记录语句。
值得一提的是,我们的服务是:
编辑
澄清一下:在我上面的示例中, pod1 > service1 > service2 > pod2 所有 pod 和服务 1 和 2 都在同一个节点池中,并且 pod 1 和 2 都包含 label version=v1-1。例子:
我希望这些 pod 能够相互交谈:
吊舱1
豆荚2
虽然这些 pod 应该被网络策略阻止
吊舱1
吊舱 2
kubernetes - AWS EKS Kubernetes 错误:无法识别策略:版本“v1beta1”中的种类“策略”没有匹配项
这些是我在 AWS EKS 1.17 中可用的 API
这是我的 policy.yaml 文件
当我尝试应用它时,我得到以下信息:
kubernetes - 允许 Pod 通过网络策略与其他 Pod 通信
我确实有一种情况,我在同一个命名空间中有 3 个 pod。让我们打电话给他们aaa,bbb和ccc。
同时在其中的每一个中设置了 NetworkPolicies 来接受和转发流量,比如说netpolfor aaaisnpa和 for bbbisnpb
我的问题是如何允许仅通过配置 Pod和现有网络策略ccc来允许流量进入aaabbb
nginx - Kubernetes 网络策略未按预期工作
我有一个 k8s 集群,它将工作节点分布在 6 个可用区中,因此,出口流量通过 6 个 nat 网关路由。我的要求是应用程序“xyz”的所有出口流量都应仅通过 AZ-A 的 nat 网关路由。因此,作为一个解决方案,我在同一个命名空间中创建了一个 nginx 代理实例,放置一个关联规则以将其仅绑定到 AZ - A,并考虑使用网络策略将出口流量从xyzpod 路由到该代理实例。但似乎网络策略正在阻止整个出口流量。下面是出口 NW 政策的代码,看起来不错。
应用 NW 策略后,我正在curl ifconfig.coxyz pod 上进行测试。它有时会给出以下错误和超时:
我想我在这里遗漏了一些东西。任何人都可以请我对此提供任何见解吗?或更好地解决此要求。