在使用支持Kubernetes网络策略的Kubernete容器网络接口(CNI)插件的集群中,网络隔离完全由网络策略
物体。在OpenShift Container Platform 4.6中,OpenShift SDN支持在其默认网络隔离模式下使用网络策略。
|
使用OpenShift SDN群集网络提供程序时,以下限制适用于网络策略:
|
|
网络策略不适用于主机网络命名空间。启用主机网络的播客不受网络策略规则的影响。
|
默认情况下,项目中的所有pod都可以从其他pod和网络端点访问。要在项目中隔离一个或多个pod,可以创建网络策略
对象以指示允许的传入连接。项目管理员可以创建和删除网络策略
对象在其自己的项目中。
如果一个吊舱与一个或多个中的选择器匹配网络策略
对象,则pod将只接受其中至少一个对象允许的连接网络策略
物体。未被任何网络策略
对象是完全可访问的。
网络策略
对象是相加的,这意味着您可以将多个网络策略
对象组合在一起以满足复杂的网络需求。
例如,对于网络策略
在前面的示例中定义的对象,可以同时定义允许名称空间
和allow-http和-https
同一项目中的策略。因此,允许带有标签的豆荚角色=前端
,以接受每个策略允许的任何连接。也就是说,来自同一命名空间中pods的任何端口上的连接,以及端口上的链接80
和443
来自任何命名空间中的pods。