第6章 EgressFirewall [k8s.ovn.org/v1]
- 説明
- EgressFirewall は、名前空間の現在の egress ファイアウォールを記述します。Pod から外部の IP アドレスへのトラフィックは、Pod の namespace の EgressFirewallRule を順番にそれぞれの EgressFirewallRule に対してチェックされます。一致するルールがない場合(または EgressFirewall が存在しない場合)、トラフィックはデフォルトで許可されます。
- タイプ
-
object
- 必須
-
spec
-
6.1. 仕様
プロパティー | タイプ | 説明 |
---|---|---|
|
| APIVersion はオブジェクトのこの表現のバージョンスキーマを定義します。サーバーは認識されたスキーマを最新の内部値に変換し、認識されない値は拒否することがあります。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#resources を参照してください。 |
|
| kind はこのオブジェクトが表す REST リソースを表す文字列の値です。サーバーはクライアントが要求を送信するエンドポイントからこれを推測できることがあります。これを更新することはできません。CamelCase を使用します。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds を参照してください。 |
| 標準オブジェクトのメタデータ。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata を参照してください。 | |
|
| EgressFirewall の期待される動作の仕様。 |
|
| EgressFirewall の監視ステータス |
6.1.1. .spec
- 説明
- EgressFirewall の期待される動作の仕様。
- タイプ
-
object
- 必須
-
egress
-
プロパティー | タイプ | 説明 |
---|---|---|
|
| egress ファイアウォールルールオブジェクトのコレクションです。 |
|
| EgressFirewallRule は単一の egressfirewall ルールオブジェクトです。 |
6.1.2. .spec.egress
- 説明
- egress ファイアウォールルールオブジェクトのコレクションです。
- タイプ
-
array
6.1.3. .spec.egress[]
- 説明
- EgressFirewallRule は単一の egressfirewall ルールオブジェクトです。
- タイプ
-
object
- 必須
-
上記を以下のように変更します。
-
type
-
プロパティー | タイプ | 説明 |
---|---|---|
|
| ポートでは、ルールを適用するポートおよびプロトコルを指定します。 |
|
| EgressFirewallPort は、トラフィックを許可または拒否するポートを指定します。 |
|
| to は、トラフィックが許可/拒否されるターゲットです。 |
|
| タイプはこれを許可または拒否ルールとしてマークします |
6.1.4. .spec.egress[].ports
- 説明
- ポートでは、ルールを適用するポートおよびプロトコルを指定します。
- タイプ
-
array
6.1.5. .spec.egress[].ports[]
- 説明
- EgressFirewallPort は、トラフィックを許可または拒否するポートを指定します。
- タイプ
-
object
- 必須
-
port
-
protocol
-
プロパティー | タイプ | 説明 |
---|---|---|
|
| トラフィックが一致する必要があるポート |
|
| トラフィックが一致する必要があるプロトコル(tcp、udp、sctp)。 |
6.1.6. .spec.egress[].to
- Description
- to は、トラフィックが許可/拒否されるターゲットです。
- タイプ
-
object
プロパティー | タイプ | Description |
---|---|---|
|
| cidrSelector は、トラフィックを許可/拒否する CIDR 範囲です。これが設定されている場合、dnsName と nodeSelector の設定を解除する必要があります。 |
|
| dnsName は、トラフィックを許可/拒否するドメイン名です。これが設定されている場合、cidrSelector および nodeSelector の設定を解除する必要があります。ワイルドカード DNS 名の場合、'' は 1 つのラベルにのみ一致します。さらに、ワイルドカード DNS 名の最初に使用できるのは、 1 つだけです。たとえば、'*.example.com' は 'sub1.example.com' に一致しますが、'sub2.sub1.example.com' に一致しません。 |
|
| nodeSelector は、選択したノードの Kubernetes ノード IP へのトラフィックを許可/拒否します。これが設定されている場合、cidrSelector および DNSName の設定を解除する必要があります。 |
6.1.7. .spec.egress[].to.nodeSelector
- 説明
- nodeSelector は、選択したノードの Kubernetes ノード IP へのトラフィックを許可/拒否します。これが設定されている場合、cidrSelector および DNSName の設定を解除する必要があります。
- タイプ
-
object
プロパティー | タイプ | 説明 |
---|---|---|
|
| matchExpressions はラベルセレクターの要件のリストです。要件は AND で結合されます。 |
|
| ラベルセレクター要件は、値、キー、およびキーと値を関連付ける Operator を含むセレクターです。 |
|
| matchLabels は、{key,value} ペアのマップです。matchLabels マップの 1 つの {key,value} は matchExpressions の要素と同じで、キーフィールドには "key"、演算子には "In"、値配列には "value" のみが含まれます。要件は AND で結合されます。 |
6.1.8. .spec.egress[].to.nodeSelector.matchExpressions
- 説明
- matchExpressions はラベルセレクターの要件のリストです。要件は AND で結合されます。
- タイプ
-
array
6.1.9. .spec.egress[].to.nodeSelector.matchExpressions[]
- 説明
- ラベルセレクター要件は、値、キー、およびキーと値を関連付ける Operator を含むセレクターです。
- タイプ
-
object
- 必須
-
key
-
operator
-
プロパティー | タイプ | 説明 |
---|---|---|
|
| key は、セレクターの適用先のラベルキーです。 |
|
| operator はキーと値のセットの関係を表します。有効な演算子は In、NotIn、Exists、および DoesNotExist です。 |
|
| values は文字列値の配列です。operator が In または NotIn の場合には、values 配列を空白にできません。operator が Exists または DoesNotExist の場合には、values 配列は空白でなければなりません。この配列は、ストラテジーに基づいたマージパッチの適用中に置き換えられます。 |
6.1.10. .status
- 説明
- EgressFirewall の監視ステータス
- タイプ
-
object
プロパティー | タイプ | 説明 |
---|---|---|
|
| |
|
|