简体中文

网络策略

INFO

平台目前提供了两种不同的网络策略 UI。旧版 UI 为兼容性保留，新版 UI 更加灵活且提供了原生的 YAML 编辑器。我们推荐使用新版。

请联系平台管理员开启 network-policy-next 功能门以访问新版 UI。

NetworkPolicy 是一个命名空间范围的 Kubernetes 资源，由 CNI 插件实现。通过网络策略，您可以控制 Pod 的网络流量，实现网络隔离，降低攻击风险。

默认情况下，所有 Pod 可以自由通信，允许来自任何来源的入口和出口流量。当应用 NetworkPolicy 后，目标 Pod 只接受符合策略规范的流量。

WARNING

网络策略仅作用于容器流量，不影响以 hostNetwork 模式运行的 Pod。

示例 NetworkPolicy：

# example-network-policy.yaml
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: example
  namespace: demo-1
  annotations:
    cpaas.io/display-name: test
spec:
  podSelector:
    matchLabels:
      pod-template-hash: 55c84b59bb
  ingress:
    - ports:
        - protocol: TCP
          port: 8989
      from:
        - podSelector:
            matchLabels:
              kubevirt.io/vm: test
  egress:
    - ports:
        - protocol: TCP
          port: 80
      to:
        - ipBlock:
            cidr: 192.168.66.221/23
            except: []
  policyTypes:
    - Ingress
    - Egress

from 和 to 对等体支持 namespaceSelector、podSelector、ipBlock

通过 Web 控制台创建 NetworkPolicy

进入 Container Platform。
在左侧导航栏点击 Network > Network Policies。
点击 Create Network Policy。
参考以下说明完成相关配置。

区域	参数		说明
目标 Pod	Pod Selector		以键值对形式输入目标 Pod 的标签；若不设置，则应用于当前命名空间内所有 Pod。
目标 Pod	当前策略影响的目标 Pod 预览		点击 Preview 查看当前网络策略影响的目标 Pod。
入口流量	阻止所有入口流量		阻止所有进入目标 Pod 的入口流量。注意: 如果在 YAML 的 `spec.policyTypes` 字段中添加了 Ingress，但未配置具体规则，切换回表单时会自动勾选阻止所有入口流量选项。如果同时删除了 YAML 中的 `spec.ingress`、`spec.egress` 和 `spec.policyTypes` 字段，切换回表单时也会自动勾选阻止所有入口流量选项。
	规则说明: 如果规则中添加多个来源，它们之间是逻辑上的或关系。	当前命名空间内的 Pod	匹配当前命名空间内具有指定标签的 Pod；只有匹配的 Pod 可以访问目标 Pod。您可以点击 Preview 查看当前规则影响的 Pod。若未配置此项，默认允许当前命名空间内所有 Pod 访问目标 Pod。
		当前集群内的 Pod	匹配集群内具有指定标签的命名空间或 Pod；只有匹配的 Pod 可以访问目标 Pod。您可以点击 Preview 查看当前规则影响的 Pod。如果同时配置了命名空间选择器和 Pod 选择器，则取两者的交集，即从指定命名空间中选择具有指定标签的 Pod。若未配置此项，默认允许集群内所有命名空间的 Pod 访问目标 Pod。
		IP 范围	输入允许访问目标 Pod 的 CIDR，可以排除不允许访问的 CIDR 范围。若未配置此项，任何流量均可访问目标 Pod。说明: 可以通过添加形如 example_ip/32 的排除项来排除单个 IP 地址。
	端口		匹配指定协议和端口的流量；可添加数字端口或 Pod 上的端口名称。若未配置此项，则匹配所有端口。
出口流量	阻止所有出口流量		阻止所有目标 Pod 的出口流量。注意: 如果在 YAML 的 `spec.policyTypes` 字段中添加了 Egress，但未配置具体规则，切换回表单时会自动勾选阻止所有出口流量选项。
	其他参数		与入口流量参数类似，此处不再赘述。

点击 Create。

通过 CLI 创建 NetworkPolicy

kubectl apply -f example-network-policy.yaml

参考

如需更多详情，请查阅官方文档 Network Policies。

网络策略

INFO

平台目前提供了两种不同的网络策略 UI。旧版 UI 为兼容性保留，新版 UI 更加灵活且提供了原生的 YAML 编辑器。我们推荐使用新版。

请联系平台管理员开启 network-policy-next 功能门以访问新版 UI。

NetworkPolicy 是一个命名空间范围的 Kubernetes 资源，由 CNI 插件实现。通过网络策略，您可以控制 Pod 的网络流量，实现网络隔离，降低攻击风险。

默认情况下，所有 Pod 可以自由通信，允许来自任何来源的入口和出口流量。当应用 NetworkPolicy 后，目标 Pod 只接受符合策略规范的流量。

WARNING

网络策略仅作用于容器流量，不影响以 hostNetwork 模式运行的 Pod。

示例 NetworkPolicy：

# example-network-policy.yaml
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: example
  namespace: demo-1
  annotations:
    cpaas.io/display-name: test
spec:
  podSelector:
    matchLabels:
      pod-template-hash: 55c84b59bb
  ingress:
    - ports:
        - protocol: TCP
          port: 8989
      from:
        - podSelector:
            matchLabels:
              kubevirt.io/vm: test
  egress:
    - ports:
        - protocol: TCP
          port: 80
      to:
        - ipBlock:
            cidr: 192.168.66.221/23
            except: []
  policyTypes:
    - Ingress
    - Egress

from 和 to 对等体支持 namespaceSelector、podSelector、ipBlock

通过 Web 控制台创建 NetworkPolicy

进入 Container Platform。
在左侧导航栏点击 Network > Network Policies。
点击 Create Network Policy。
参考以下说明完成相关配置。

区域	参数		说明
目标 Pod	Pod Selector		以键值对形式输入目标 Pod 的标签；若不设置，则应用于当前命名空间内所有 Pod。
目标 Pod	当前策略影响的目标 Pod 预览		点击 Preview 查看当前网络策略影响的目标 Pod。
入口流量	阻止所有入口流量		阻止所有进入目标 Pod 的入口流量。注意: 如果在 YAML 的 `spec.policyTypes` 字段中添加了 Ingress，但未配置具体规则，切换回表单时会自动勾选阻止所有入口流量选项。如果同时删除了 YAML 中的 `spec.ingress`、`spec.egress` 和 `spec.policyTypes` 字段，切换回表单时也会自动勾选阻止所有入口流量选项。
	规则说明: 如果规则中添加多个来源，它们之间是逻辑上的或关系。	当前命名空间内的 Pod	匹配当前命名空间内具有指定标签的 Pod；只有匹配的 Pod 可以访问目标 Pod。您可以点击 Preview 查看当前规则影响的 Pod。若未配置此项，默认允许当前命名空间内所有 Pod 访问目标 Pod。
		当前集群内的 Pod	匹配集群内具有指定标签的命名空间或 Pod；只有匹配的 Pod 可以访问目标 Pod。您可以点击 Preview 查看当前规则影响的 Pod。如果同时配置了命名空间选择器和 Pod 选择器，则取两者的交集，即从指定命名空间中选择具有指定标签的 Pod。若未配置此项，默认允许集群内所有命名空间的 Pod 访问目标 Pod。
		IP 范围	输入允许访问目标 Pod 的 CIDR，可以排除不允许访问的 CIDR 范围。若未配置此项，任何流量均可访问目标 Pod。说明: 可以通过添加形如 example_ip/32 的排除项来排除单个 IP 地址。
	端口		匹配指定协议和端口的流量；可添加数字端口或 Pod 上的端口名称。若未配置此项，则匹配所有端口。
出口流量	阻止所有出口流量		阻止所有目标 Pod 的出口流量。注意: 如果在 YAML 的 `spec.policyTypes` 字段中添加了 Egress，但未配置具体规则，切换回表单时会自动勾选阻止所有出口流量选项。
	其他参数		与入口流量参数类似，此处不再赘述。

点击 Create。

通过 CLI 创建 NetworkPolicy

kubectl apply -f example-network-policy.yaml

参考

如需更多详情，请查阅官方文档 Network Policies。

ACP CLI (ac)

节点管理

托管集群

导入集群

公有云集群初始化

网络初始化

存储初始化

如何操作

如何操作

备份管理

恢复管理

操作指南

实用指南

Kube OVN

alb

故障排除

核心概念

操作指南

实用指南

故障排除

对象存储

操作指南

实用指南

安装

核心概念

操作指南

实用指南

灾难恢复

核心概念

操作指南

实用指南

操作指南

实用指南

ALB Operator

合规性

使用指南

API Refiner

用户

操作指南

组

操作指南

角色

操作指南

IDP

操作指南

故障排除

用户策略

操作指南

概览

镜像

操作指南

实用指南

虚拟机

操作指南

实用指南

故障排除

网络

操作指南

实用指南

存储

操作指南

备份与恢复

操作指南

核心概念

命名空间

创建应用

应用的操作与维护

Application Rollout

KEDA(Kubernetes Event-driven Autoscaling)

实用指南

计算组件

配置

应用可观测

实用指南

实用指南

安装

实用指南

概览

安装

升级