管理员网络策略
INFO
平台现提供两种不同的集群网络策略 UI。旧版 UI 为兼容性保留,新版 UI 更加灵活,并提供原生 YAML 编辑器。建议使用新版 UI。
请联系平台管理员启用 cluster-network-policy 和 cluster-network-policy-next 功能门控,以访问新版 UI。
目录
说明
-
目前仅 Kube-OVN CNI 支持管理员网络策略。
-
在 Kube-OVN 网络模式下,该功能处于 Alpha 版本阶段。
-
集群中只能存在一个 Baseline Admin Network Policy。
AdminNetworkPolicy
- 数字越小,优先级越高。
subject:最多只能指定命名空间选择器或 Pod 选择器中的一个。action:可用值为 Allow、Deny 和 Pass。 Allow 表示允许流量访问,Deny 表示拒绝流量访问,Pass 表示允许流量并跳过后续优先级较低的集群网络策略,继续由其他策略(NetworkPolicy 和 BaselineAdminNetworkpolicy)处理流量。- 可用值为 Namespace Selector、Pod Selector。
- 可用值为 Namespace Selector、Pod Selector、Node Selector、IP Block。
BaselineAdminNetworkpolicy:
- 集群中只能创建一个 metadata.name=
default的 baseline admin network policy。 - 可用值为 Allow、Deny。
通过 Web 控制台创建 AdminNetworkPolicy 或 BaselineAdminNetworkPolicy
-
进入 管理员 页面。
-
在左侧导航栏点击 网络 > 集群网络策略。
-
点击 创建管理员网络策略 或 配置 Baseline 管理员网络策略。
-
按照以下说明完成相关配置。
区域 参数 说明 基本信息 名称 管理员网络策略或 Baseline 管理员网络策略的名称。 优先级 决定策略的评估和应用顺序。数值越小优先级越高。
注意:Baseline 管理员网络策略无优先级。目标 Pod 命名空间选择器 以键值对形式填写目标命名空间的标签。若不设置,策略将应用于当前集群的所有命名空间。指定后,策略仅应用于匹配这些选择器的命名空间中的 Pod。 当前策略影响的目标 Pod 预览 点击 预览 查看该网络策略影响的目标 Pod。 Pod 选择器 以键值对形式填写目标 Pod 的标签。若不设置,策略将应用于当前命名空间的所有 Pod。 当前策略影响的目标 Pod 预览 点击 预览 查看该网络策略影响的目标 Pod。 入口流量 流量动作 指定如何处理目标 Pod 的入口流量。共有三种模式:Allow(允许流量)、Deny(拒绝流量)、Pass(跳过所有优先级较低的管理员网络策略,允许流量由 Network Policy 处理,若无 Network Policy 则由 Baseline Admin Network Policy 处理)。
注意:Baseline 管理员网络策略不支持 Pass 动作。规则
说明:规则中添加多个来源时,它们之间是逻辑 或 关系。Pod 选择器 匹配集群中具有指定标签的命名空间或 Pod;只有匹配的 Pod 能访问目标 Pod。可点击 预览 查看当前规则影响的 Pod。 - 若同时配置了命名空间和 Pod 选择器,则取交集,即从指定命名空间中选择具有指定标签的 Pod。
- 若未配置此项,则默认允许集群中所有命名空间的所有 Pod 访问目标 Pod。
命名空间选择器 匹配当前命名空间中具有指定标签的 Pod;只有匹配的 Pod 能访问目标 Pod。可点击 预览 查看当前规则影响的 Pod。若未配置此项,则默认允许当前命名空间的所有 Pod 访问目标 Pod。
端口 匹配指定协议和端口的流量;可添加数字端口或 Pod 上的端口名称。若未配置此项,则匹配所有端口。 出口流量 规则
说明:规则中添加多个来源时,它们之间是逻辑 或 关系。节点选择器 指定目标 Pod 允许访问的节点 IP。可通过节点标签选择节点,控制 Pod 可访问的节点 IP。 IP 范围 指定目标 Pod 允许连接的 CIDR 范围。若未配置此项,则默认允许目标 Pod 连接任意 IP。 其他参数 与入口流量参数类似,配置选项和行为相同。