声明网络策略

    您首先需要有一个支持网络策略的 Kubernetes 集群。已经有许多支持 NetworkPolicy 的网络提供商,包括:

    注意:以上列表是根据产品名称按字母顺序排序,而不是按推荐或偏好排序。下面示例对于使用了上面任何提供商的 Kubernetes 集群都是有效的

    创建一个nginx deployment 并且通过服务将其暴露

    在 default 命名空间下运行了两个 nginx pod,而且通过一个名字为 nginx 的服务进行了暴露

    1. $ kubectl get svc,pod
    2. NAME                        CLUSTER-IP    EXTERNAL-IP   PORT(S)    AGE
    3. svc/nginx                   10.100.0.16   <none>        80/TCP     33s
    5. NAME                        READY         STATUS        RESTARTS   AGE
    6. po/nginx-701339712-e0qfq    1/1           Running       0          35s
    7. po/nginx-701339712-o00ef    1/1           Running       0          35s

    您应该可以从其它的 pod 访问这个新的 nginx 服务。为了验证它,从 default 命名空间下的其它 pod 来访问该服务。请您确保在该命名空间下没有执行孤立动作。

    限制访问 nginx 服务

    如果说您想限制 nginx 服务,只让那些拥有标签 access: true 的 pod 访问它,那么您可以创建一个只允许从那些 pod 连接的 NetworkPolicy

    1. kind: NetworkPolicy
    2. apiVersion: networking.k8s.io/v1
    3. metadata:
    4.   name: access-nginx
    5. spec:
    6.   podSelector:
    7.     matchLabels:
    8.   ingress:
    10.     - podSelector:
    11.         matchLabels:
    12.           access: "true"

    使用 kubectl 工具根据上面的 nginx-policy.yaml 文件创建一个 NetworkPolicy:

    当访问标签没有定义时测试访问服务

    1. $ kubectl run busybox --rm -ti --image=busybox /bin/sh
    2. Waiting for pod default/busybox-472357175-y0m47 to be running, status is Pending, pod ready: false
    4. Hit enter for command prompt
    6. / # wget --spider --timeout=1 nginx
    7. Connecting to nginx (10.100.0.16:80)

    创建一个拥有正确标签的 pod,您将看到请求是被允许的: