简体中文

通过网络策略控制虚拟机网络请求

平台的虚拟机方案基于开源组件 KubeVirt 实现，实际上运行在 Pod 中。通过利用网络策略的功能，可以控制虚拟机的入站和出站请求。

操作步骤

进入 容器平台。
在左侧导航栏点击网络 > 网络策略。
点击 创建网络策略。

根据需要配置以下参数。

参数	说明
关联方式	计算组件：根据需要选择目标计算组件，建议选择全部作为目标计算组件。标签选择器：根据 Pod 的标签进行匹配。
方向	入站：从外部发送到 Pod 的请求。出站：从 Pod 发送到外部的请求；如果禁止虚拟机请求某个外部地址，选择此项。
协议	选择 TCP 或 UDP。注意：虚拟机中使用域名请求外部服务时，需要添加 UDP 协议白名单，因为 DNS 协议使用 UDP。表单不支持配置 ICMP 协议；一旦启用白名单规则，ICMP 协议将被禁用，导致无法进行 Ping 操作。
访问端口	指定允许入站或出站的端口流量。如果此项为空，默认允许所有端口的流量。注意：此处需允许 1053 和 53 端口的 UDP 和 TCP 协议，以允许 DNS 流量出站，否则域名解析将失败。
远程类型	指定允许访问的远程类型，选项包括：计算组件、命名空间和 IP 段。
排除远程	当远程类型为 IP 段时，从白名单中移除指定 IP（即禁止访问）。单个 IP 可输入为 `IP/32`。注意：此项仅支持输入 IP；若域名对应的 IP 不明确，可使用命令 `curl -vvv <domain>` 请求该域名，从返回信息中获取对应 IP 地址。

点击创建。

结果验证

本文以虚拟机访问 www.example.com 进行验证。

第一步：创建虚拟机及允许所有流量通过的网络策略

创建虚拟机，详细步骤请参考创建虚拟机。

在虚拟机所在命令空间配置网络策略，添加 TCP 和 UDP 协议的白名单规则，参数如下：

TCP 协议白名单：

参数	说明
关联方式	选择计算组件。
目标计算组件	选择全部。
方向	选择出站。
协议	选择 TCP。
远程类型	选择 IP 段。
远程	输入 0.0.0.0/0，表示允许所有流量出站。

UDP 协议白名单规则：

参数说明
方向选择出站。
协议选择 UDP。
远程类型 选择 IP 段。
远程输入 0.0.0.0/0，表示允许所有流量出站。

网络策略创建完成后，登录虚拟机，执行以下命令请求 www.example.com。
```
curl www.example.com
```
请求成功。

参数	说明
方向	选择出站。
协议	选择 UDP。
远程类型	选择 IP 段。
远程	输入 0.0.0.0/0，表示允许所有流量出站。

第二步：更新网络策略，将 www.example.com 从白名单中移除

执行以下命令获取 www.example.com 的 IP 地址，得到 IP 为 93.184.215.14。
```
curl -vvv www.example.com
```
更新第一步创建的网络策略，更新参数如下：

参数说明
排除远程 在 TCP 协议白名单规则中，排除远程参数填写 93.184.215.14/32，表示将 IP 地址 93.184.215.14 从白名单中移除。
更新网络策略后，登录虚拟机，执行以下命令请求 www.example.com。
```
curl www.example.com
```
请求超时，表示排除远程功能生效。

参数	说明
排除远程	在 TCP 协议白名单规则中，排除远程参数填写 93.184.215.14/32，表示将 IP 地址 93.184.215.14 从白名单中移除。

以 PDF 格式查看完整文档

通过网络策略控制虚拟机网络请求

平台的虚拟机方案基于开源组件 KubeVirt 实现，实际上运行在 Pod 中。通过利用网络策略的功能，可以控制虚拟机的入站和出站请求。

操作步骤

进入 容器平台。
在左侧导航栏点击网络 > 网络策略。
点击 创建网络策略。

根据需要配置以下参数。

参数	说明
关联方式	计算组件：根据需要选择目标计算组件，建议选择全部作为目标计算组件。标签选择器：根据 Pod 的标签进行匹配。
方向	入站：从外部发送到 Pod 的请求。出站：从 Pod 发送到外部的请求；如果禁止虚拟机请求某个外部地址，选择此项。
协议	选择 TCP 或 UDP。注意：虚拟机中使用域名请求外部服务时，需要添加 UDP 协议白名单，因为 DNS 协议使用 UDP。表单不支持配置 ICMP 协议；一旦启用白名单规则，ICMP 协议将被禁用，导致无法进行 Ping 操作。
访问端口	指定允许入站或出站的端口流量。如果此项为空，默认允许所有端口的流量。注意：此处需允许 1053 和 53 端口的 UDP 和 TCP 协议，以允许 DNS 流量出站，否则域名解析将失败。
远程类型	指定允许访问的远程类型，选项包括：计算组件、命名空间和 IP 段。
排除远程	当远程类型为 IP 段时，从白名单中移除指定 IP（即禁止访问）。单个 IP 可输入为 `IP/32`。注意：此项仅支持输入 IP；若域名对应的 IP 不明确，可使用命令 `curl -vvv <domain>` 请求该域名，从返回信息中获取对应 IP 地址。

点击创建。

结果验证

本文以虚拟机访问 www.example.com 进行验证。

第一步：创建虚拟机及允许所有流量通过的网络策略

创建虚拟机，详细步骤请参考创建虚拟机。

在虚拟机所在命令空间配置网络策略，添加 TCP 和 UDP 协议的白名单规则，参数如下：

TCP 协议白名单：

参数	说明
关联方式	选择计算组件。
目标计算组件	选择全部。
方向	选择出站。
协议	选择 TCP。
远程类型	选择 IP 段。
远程	输入 0.0.0.0/0，表示允许所有流量出站。

UDP 协议白名单规则：

参数说明
方向选择出站。
协议选择 UDP。
远程类型 选择 IP 段。
远程输入 0.0.0.0/0，表示允许所有流量出站。

网络策略创建完成后，登录虚拟机，执行以下命令请求 www.example.com。
```
curl www.example.com
```
请求成功。

参数	说明
方向	选择出站。
协议	选择 UDP。
远程类型	选择 IP 段。
远程	输入 0.0.0.0/0，表示允许所有流量出站。

第二步：更新网络策略，将 www.example.com 从白名单中移除

执行以下命令获取 www.example.com 的 IP 地址，得到 IP 为 93.184.215.14。
```
curl -vvv www.example.com
```
更新第一步创建的网络策略，更新参数如下：

参数说明
排除远程 在 TCP 协议白名单规则中，排除远程参数填写 93.184.215.14/32，表示将 IP 地址 93.184.215.14 从白名单中移除。
更新网络策略后，登录虚拟机，执行以下命令请求 www.example.com。
```
curl www.example.com
```
请求超时，表示排除远程功能生效。

ACP CLI (ac)

节点管理

托管集群

导入集群

公有云集群初始化

网络初始化

存储初始化

如何操作

如何操作

备份管理

恢复管理

操作指南

实用指南

Kube OVN

alb

故障排除

核心概念

操作指南

实用指南

故障排除

对象存储

操作指南

实用指南

安装

核心概念

操作指南

实用指南

灾难恢复

核心概念

操作指南

实用指南

操作指南

实用指南

ALB Operator

合规性

使用指南

API Refiner

用户

操作指南

组

操作指南

角色

操作指南

IDP

操作指南

故障排除

用户策略

操作指南

概览

镜像

操作指南

实用指南

虚拟机

操作指南

实用指南

故障排除

网络

操作指南

实用指南

存储

操作指南

备份与恢复

操作指南

核心概念

命名空间

创建应用

应用的操作与维护

Application Rollout

KEDA(Kubernetes Event-driven Autoscaling)

实用指南

计算组件

配置

应用可观测

实用指南

实用指南

安装

实用指南

概览

安装

升级