友善的 : 网络策略
api版本 : 联网.k8s.io/v1
元数据 :
名称 : 默认拒绝
规范 :
吊舱选择器 : {}
进入 : [] -
文档 -
OpenShift容器平台 -
网络 网络策略 关于网络策略
关于 发行说明 建筑 正在安装 正在更新群集 安装后配置 支持 Web控制台 CLI工具 安全性和合规性 身份验证和授权 网络 保管部 注册表 操作员 生成 管道 图像 应用 机器管理 节点 OpenShift的Windows容器支持 登录中 监测 测量 可扩展性和性能 备份和恢复 从版本3迁移到版本4 容器迁移工具包 API参考 编辑kubelet日志级别的详细信息并收集日志 API列表 公共对象引用 授权API 关于授权API LocalResourceAccessReview[authorization.openshift.io/v1] LocalSubjectAccessReview[authorization.openshift.io/v1] ResourceAccessReview[authorization.openshift.io/v1] SelfSubjectRulesReview[authorization.openshift.io/v1] SubjectAccessReview[authorization.openshift.io/v1] SubjectRulesReview[authorization.openshift.io/v1] TokenReview[authentication.k8s.io/v1] LocalSubjectAccessReview[authorization.k8s.io/v1] SelfSubjectAccessReview[授权.k8s.io/v1] SelfSubjectRulesReview[authorization.k8s.io/v1] SubjectAccessReview[authorization.k8s.io/v1]
自动缩放API 配置API 关于配置API APIServer[config.openshift.io/v1] 身份验证[config.openshift.io/v1] 构建[config.openshift.io/v1] 集群操作员[config.openshift.io/v1] 群集版本[config.openshift.io/v1] 控制台[config.openshift.io/v1] DNS[config.openshift.io/v1] FeatureGate[配置.openshift.io/v1] HelmChartRepository[helm.openshift.io/v1beta1] 图像[config.openshift.io/v1] 基础设施[config.openshift.io/v1] 入口[config.openshift.io/v1] 网络[config.openshift.io/v1] OAuth[config.openshift.io/v1] OperatorHub[config.openshift.io/v1] 项目[config.openshift.io/v1] 代理服务器[config.openshift.io/v1] 调度程序[config.openshift.io/v1]
控制台API 扩展API 图像API 计算机API 关于机器API ContainerRuntimeConfig[machineconfiguration.openshift.io/v1] 控制器配置[machineconfiguration.openshift.io/v1] KubeletConfig[machineconfiguration.openshift.io/v1] MachineConfigPool[machineconfiguration.openshift.io/v1] MachineConfig[machineconfiguration.openshift.io/v1] 机器健康检查[machine.openshift.io/v1beta1] 机器[Machine.openshift.io/v1beta1] 机器设置[machine.openshift.io/v1beta1]
元数据API 监控API 网络API 关于网络API 群集网络[network.openshift.io/v1] 端点[core/v1] 端点切片[discovery.k8s.io/v1beta1] EgressNetworkPolicy[network.openshift.io/v1] 主机子网[network.openshift.io/v1] 入口[networking.k8s.io/v1] 入口类[网络.k8s.io/v1] IPPool[行踪.cni.cncf.io/v1alpha1] NetNamespace[network.openshift.io/v1] 网络附件定义[k8s.cni.cncf.io/v1] 网络策略[networking.k8s.io/v1] 路线[Route.openshift.io/v1] 服务[core/v1]
节点API OAuth API 操作员API 关于操作员API 身份验证[operator.openshift.io/v1] CloudCredential[operator.openshift.io/v1] ClusterCSIDriver[operator.openshift.io/v1] 控制台[operator.openshift.io/v1] 配置[operator.openshift.io/v1] 配置[imageregistry.operator.openshift.io/v1] 配置[samples.operator.openshift.io/v1] CSISnapshotController[operator.openshift.io/v1] DNS[operator.openshift.io/v1] DNS记录[入口操作员.openshift.io/v1] Etcd[operator.openshift.io/v1] ImageContentSourcePolicy[operator.openshift.io/v1alpha1] ImageRuner[imageregistry.operator.openshift.io/v1] IngressController[operator.openshift.io/v1] KubeAPIServer[operator.openshift.io/v1] KubeControllerManager[operator.openshift.io/v1] KubeScheduler[operator.openshift.io/v1] KubeStorage版本迁移器[operator.openshift.io/v1] 网络[operator.openshift.io/v1] OpenShiftAPIServer[operator.openshift.io/v1] OpenShiftControllerManager[operator.openshift.io/v1] OperatorPKI[network.operator.openshift.io/v1] ServiceCA[operator.openshift.io/v1] 存储[operator.openshift.io/v1]
OperatorHub API 策略API 项目API 提供API 澳大利亚储备银行API 角色API 计划和配额API 安全API 关于安全API 证书签名请求[certificates.k8s.io/v1] 凭据请求[cloudcredential.openshift.io/v1] PodSecurityPolicyReview[security.openshift.io/v1] PodSecurityPolicySelfSubjectReview[security.openshift.io/v1] PodSecurityPolicySubjectReview[security.openshift.io/v1] 范围分配[security.openshift.io/v1] 机密[core/v1] 安全上下文约束[security.openshift.io/v1] 服务帐户[核心/v1]
存储API 关于存储API CSIDriver[storage.k8s.io/v1] CSI节点[storage.k8s.io/v1] 持久卷声明[core/v1] 存储类[storage.k8s.io/v1] StorageState[迁移.k8s.io/v1alpha1] 存储版本迁移[migration.k8s.io/v1alpha1] 卷附件[storage.k8s.io/v1] 卷快照[snapshot.storage.k8s.io/v1beta1] 卷快照类[snapshot.storage.k8s.io/v1beta1] 卷快照内容[snapshot.storage.k8s.io/v1beta1]
模板API 用户和组API 工作负载API
服务网格 服务网格2.x 关于OpenShift Service Mesh Service Mesh 2.x发行说明 Service Mesh体系结构 Service Mesh部署模型 服务网格和问题差异 准备安装Service Mesh 安装操作员 创建ServiceMeshControlPlane 向服务网格添加工作负载 启用侧车喷射 升级Service Mesh 管理用户和配置文件 安全 交通管理 度量、日志和跟踪 性能和可扩展性 部署到生产 联邦 扩展 3缩放2.1的WebAssembly 3scale Istio适配器2.0版 检修网格故障排除 控制平面配置参考 Kiali配置参考 Jaeger配置参考 卸载Service Mesh
服务网格1.x
分布式跟踪 OpenShift虚拟化 关于OpenShift虚拟化 OpenShift Virtualization发行说明 OpenShift虚拟化安装 升级OpenShift虚拟化 为kubevirt-controller和virt-launcher授予的附加安全特权 使用CLI工具 虚拟机 虚拟机模板 实时迁移 节点维护 节点联网 日志记录、事件和监视
无服务器
关于网络策略
关于网络策略
|
|
|
-
拒绝所有流量: 要使项目默认被拒绝,请添加 网络策略 匹配所有pod但不接受流量的对象: -
仅允许从OpenShift容器平台入口控制器进行连接: 要使项目仅允许从OpenShift Container Platform Ingress Controller进行连接,请添加以下内容 网络策略 对象。 api版本 : 联网.k8s.io/v1 友善的 : 网络策略 元数据 : 名称 : 允许自开式换档 规范 : 进入 : - 从 : - 命名空间选择器 : 匹配标签 : network.openshift.io/policy-group : 进入 pod选择器 : {} 策略类型 : - 进入 -
仅接受来自项目内pods的连接: 要使pods接受来自同一项目中其他pods的连接,但拒绝来自其他项目中pods的所有其他连接,请添加以下内容 网络策略 对象: 友善的 : 网络策略 api版本 : 联网.k8s.io/v1 元数据 : 名称 : 允许名称空间 规范 : pod选择器 : {} 进入 : - 从 : - pod选择器 : {} -
仅允许基于pod标签的HTTP和HTTPS流量: 仅启用HTTP和HTTPS访问具有特定标签的pods( 角色=前端 在以下示例中),添加 网络策略 对象类似于以下内容: 友善的 : 网络策略 api版本 : 联网.k8s.io/v1 元数据 : 名称 : allow-http和-https 规范 : pod选择器 : 匹配标签 : 角色 : 前端 进入 : - 端口 : - 协议 : 传输控制协议 港口 : 80 - 协议 : 传输控制协议 港口 : 443 -
通过使用名称空间和pod选择器接受连接: 要通过组合命名空间和pod选择器来匹配网络流量,可以使用 网络策略 对象类似于以下内容: 友善的 : 网络策略 api版本 : 联网.k8s.io/v1 元数据 : 名称 : allow-pod和namespace-bother 规范 : pod选择器 : 匹配标签 : 名称 : 测试吊舱 进入 : - 从 : - 命名空间选择器 : 匹配标签 : 项目 : 项目_名称 pod选择器 : 匹配标签 : 名称 : 测试棒
网络策略的优化
|
|
-
通过使用名称空间来包含需要隔离的pod组,减少OVS流规则的数量。 网络策略 对象,通过使用 命名空间选择器 或空的 pod选择器 ,只生成与命名空间的VXLAN虚拟网络ID(VNID)匹配的单个OVS流规则。 -
将不需要隔离的pod保留在其原始名称空间中,并将需要隔离的Pod移动到一个或多个不同的名称空间中。 -
创建其他有针对性的跨命名空间网络策略,以允许您确实希望从隔离的pod中允许的特定流量。