Sper că vă descurcați cu toții bine și să fiți în siguranță.
Am două poduri A și B în două spații de nume diferite.
Îmi doresc ca podul A din namespace-a să aibă acces la fiecare pod din alte spații de nume, așa că am implementat acest NetPol din documentația Kubernetes:
apiVersion: networking.k8s.io/v1
fel: NetworkPolicy
metadate:
nume: allow_egress
namespace: namespace-a
specificație:
podSelector:
matchLabels:
aplicație: a
ieşire:
- la:
- namespaceSelector: {}
Tipuri de politici:
- Ieșire
Acum, pentru pod B, dorința este ca acesta să primească trafic doar din spațiul de nume în care este implementat și așa am folosit din aceeași documentație:
apiVersion: networking.k8s.io/v1
fel: NetworkPolicy
metadate:
nume: deny-ingress
namespace: namespace-b
specificație:
podSelector:
matchLabels:
aplicație: b
intrare:
- de la:
- podSelector: {}
Tipuri de politici:
- Intrare
Folosind această configurație, încă pot accesa serviciul de expunere pod B din pod A.Chiar dacă am specificat în al doilea NetworkPolicy că podul B nu ar trebui să accepte trafic numai de la alte poduri din același spațiu de nume.
Nu uitați că încerc să simulez două echipe care nu știu una despre cealaltă evoluție, așa că echipa care lucrează în podul B nu știe ce scrie echipa din podul A. Este ceva ce îmi lipsește?
Mulțumesc!
