GKE Kubernetes 网络策略允许其他节点 IP
GKE Kubernetes network policy allowing other node IPs
我有一个 GKE 集群 (1.16),有 2 个以上的节点和一个 GKE Ingress HTTPS 负载均衡器。
我在上面部署了几个命名空间。
我想拒绝命名空间之间的所有流量,所以我使用找到的方法 here.
但是,根据这个documentation(我的externalTrafficPolicy使用的是默认值Cluster
):
If externalTrafficPolicy is not set to Local, the network policy must also allow connections from other node IPs in the cluster.
如何在我的 NetworkPolicy 定义中允许来自集群中其他节点 IP 的连接?
我目前的定义是:
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: foo
spec:
podSelector:
matchLabels:
ingress:
- from:
- podSelector: {}
- ipBlock:
cidr: 35.191.0.0/16
- ipBlock:
cidr: 130.211.0.0/22
GKE 节点通过私有地址 space 进行通信,因此您可以允许 10.0.0.0/8
(或更具体)。
我有一个 GKE 集群 (1.16),有 2 个以上的节点和一个 GKE Ingress HTTPS 负载均衡器。
我在上面部署了几个命名空间。
我想拒绝命名空间之间的所有流量,所以我使用找到的方法 here.
但是,根据这个documentation(我的externalTrafficPolicy使用的是默认值Cluster
):
If externalTrafficPolicy is not set to Local, the network policy must also allow connections from other node IPs in the cluster.
如何在我的 NetworkPolicy 定义中允许来自集群中其他节点 IP 的连接?
我目前的定义是:
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: foo
spec:
podSelector:
matchLabels:
ingress:
- from:
- podSelector: {}
- ipBlock:
cidr: 35.191.0.0/16
- ipBlock:
cidr: 130.211.0.0/22
GKE 节点通过私有地址 space 进行通信,因此您可以允许 10.0.0.0/8
(或更具体)。