第6章 EgressFirewall [k8s.ovn.org/v1]
- 説明
- EgressFirewall は、namespace の現在の Egress ファイアウォールを記述します。Pod からクラスター外部の IP アドレスへのトラフィックは、Pod の namespace の EgressFirewall 内の各 EgressFirewallRule に対して順番にチェックされます。一致するルールがない場合 (または EgressFirewall が存在しない場合)、デフォルトでトラフィックは許可されます。
- 型
-
object - 必須
-
spec
-
6.1. 仕様
| プロパティー | 型 | 説明 |
|---|---|---|
|
|
| APIVersion はオブジェクトのこの表現のバージョンスキーマを定義します。サーバーは認識されたスキーマを最新の内部値に変換し、認識されない値は拒否することがあります。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#resources を参照してください。 |
|
|
| kind はこのオブジェクトが表す REST リソースを表す文字列の値です。サーバーはクライアントが要求を送信するエンドポイントからこれを推測できる場合があります。これを更新することはできません。CamelCase を使用します。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds を参照してください。 |
|
| 標準オブジェクトのメタデータ。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata を参照してください。 | |
|
|
| EgressFirewall の期待される動作の仕様。 |
|
|
| EgressFirewall の観測されたステータス |
6.1.1. .spec
- 説明
- EgressFirewall の期待される動作の仕様。
- 型
-
object - 必須
-
egress
-
| プロパティー | 型 | 説明 |
|---|---|---|
|
|
| Egress ファイアウォールルールオブジェクトのコレクション |
|
|
| EgressFirewallRule は単一の egressfirewall ルールオブジェクトです |
6.1.2. .spec.egress
- 説明
- Egress ファイアウォールルールオブジェクトのコレクション
- 型
-
array
6.1.3. .spec.egress[]
- 説明
- EgressFirewallRule は単一の egressfirewall ルールオブジェクトです
- 型
-
object - 必須
-
to -
type
-
| プロパティー | 型 | 説明 |
|---|---|---|
|
|
| ports はルールが適用されるポートとプロトコルを指定します |
|
|
| EgressFirewallPort は、トラフィックを許可または拒否するポートを指定します |
|
|
| to は、トラフィックが許可/拒否されるターゲットです。 |
|
|
| タイプはこれを "Allow" または "Deny" ルールとしてマークします |
6.1.4. .spec.egress[].ports
- 説明
- ports はルールが適用されるポートとプロトコルを指定します
- 型
-
array
6.1.5. .spec.egress[].ports[]
- 説明
- EgressFirewallPort は、トラフィックを許可または拒否するポートを指定します
- 型
-
object - 必須
-
port -
protocol
-
| プロパティー | 型 | 説明 |
|---|---|---|
|
|
| トラフィックが一致する必要があるポート |
|
|
| トラフィックが一致する必要があるプロトコル (tcp、udp、sctp)。 |
6.1.6. .spec.egress[].to
- 説明
- to は、トラフィックが許可/拒否されるターゲットです。
- 型
-
object
| プロパティー | 型 | 説明 |
|---|---|---|
|
|
| cidrSelector は、トラフィックを許可/拒否する CIDR 範囲です。これが設定されている場合、dnsName と nodeSelector は設定を解除する必要があります。 |
|
|
| dnsName は、トラフィックを許可/拒否するドメイン名です。これが設定されている場合、cidrSelector と nodeSelector は設定を解除する必要があります。ワイルドカード DNS 名の場合、'' は 1 つのラベルのみに一致します。さらに、1 つの '' はワイルドカード DNS 名の先頭に使用できます。たとえば、'*.example.com' は 'sub1.example.com' と一致しますが、'sub2.sub1.example.com' とは一致しません。 |
|
|
| nodeSelector は、選択されたノードの Kubernetes ノード IP へのトラフィックを許可/拒否します。これが設定されている場合、cidrSelector と DNSName は設定を解除する必要があります。 |
6.1.7. .spec.egress[].to.nodeSelector
- 説明
- nodeSelector は、選択されたノードの Kubernetes ノード IP へのトラフィックを許可/拒否します。これが設定されている場合、cidrSelector と DNSName は設定を解除する必要があります。
- 型
-
object
| プロパティー | 型 | 説明 |
|---|---|---|
|
|
| matchExpressions はラベルセレクターの要件のリストです。要件は AND で結合されます。 |
|
|
| ラベルセレクター要件は、値、キー、およびキーと値を関連付ける Operator を含むセレクターです。 |
|
|
| matchLabels は、{key,value} ペアのマップです。matchLabels マップの 1 つの {key,value} は matchExpressions の要素と同じで、キーフィールドには "key"、演算子には "In"、値配列には "value" のみが含まれます。要件は AND で結合されます。 |
6.1.8. .spec.egress[].to.nodeSelector.matchExpressions
- 説明
- matchExpressions はラベルセレクターの要件のリストです。要件は AND で結合されます。
- 型
-
array
6.1.9. .spec.egress[].to.nodeSelector.matchExpressions[]
- 説明
- ラベルセレクター要件は、値、キー、およびキーと値を関連付ける Operator を含むセレクターです。
- 型
-
object - 必須
-
key -
operator
-
| プロパティー | 型 | 説明 |
|---|---|---|
|
|
| key は、セレクターの適用先のラベルキーです。 |
|
|
| operator はキーと値のセットの関係を表します。有効な演算子は In、NotIn、Exists、および DoesNotExist です。 |
|
|
| values は文字列値の配列です。operator が In または NotIn の場合には、values 配列を空白にできません。operator が Exists または DoesNotExist の場合には、values 配列は空白でなければなりません。この配列は、ストラテジーに基づいたマージパッチの適用中に置き換えられます。 |
6.1.10. .status
- 説明
- EgressFirewall の観測されたステータス
- 型
-
object
| プロパティー | 型 | 説明 |
|---|---|---|
|
|
| |
|
|
|
