kubernetes 中冲突的网络策略
Conflicting NetworkPolicies in kubernetes
假设我有 2 个网络策略,用于匹配标签 "app=database" 的节点。假设:
- 第一个策略包含阻止所有入口流量的规则。
- 第二个策略有一个规则允许端口 5660 上的入口流量。
虽然这是一个简单的例子,但是kubernetes是如何决定哪个规则获胜的呢?
在具有多个重叠规则的更复杂场景中,可能涵盖类似 pods,这将如何管理?例如:我们可以在网络策略中定义优先级吗?
谢谢。
Kubernetes 网络策略目前不允许 deny 策略。只有 allow 政策。您基本上将 pod 的所有允许策略放在一起以获得允许的连接。
当 pod 上有一个或多个网络策略时,将允许所有连接 至少一个网络策略 允许的连接。
那么默认拒绝是如何工作的。它只是告诉允许的连接是 none.
有更详细的解释 here。
实际上这取决于您的网络策略插件如何实现它。目前我们也没有办法定义优先级。如果你确实有冲突的规则,那么你就犯了一个错误。您应该尝试在没有冲突规则的情况下应用策略。
假设我有 2 个网络策略,用于匹配标签 "app=database" 的节点。假设:
- 第一个策略包含阻止所有入口流量的规则。
- 第二个策略有一个规则允许端口 5660 上的入口流量。
虽然这是一个简单的例子,但是kubernetes是如何决定哪个规则获胜的呢? 在具有多个重叠规则的更复杂场景中,可能涵盖类似 pods,这将如何管理?例如:我们可以在网络策略中定义优先级吗?
谢谢。
Kubernetes 网络策略目前不允许 deny 策略。只有 allow 政策。您基本上将 pod 的所有允许策略放在一起以获得允许的连接。
当 pod 上有一个或多个网络策略时,将允许所有连接 至少一个网络策略 允许的连接。
那么默认拒绝是如何工作的。它只是告诉允许的连接是 none.
有更详细的解释 here。
实际上这取决于您的网络策略插件如何实现它。目前我们也没有办法定义优先级。如果你确实有冲突的规则,那么你就犯了一个错误。您应该尝试在没有冲突规则的情况下应用策略。