第6章 ビルド時のネットワークポリシーの生成

前提条件

1. ビルド時のネットワークポリシージェネレーターは、コマンドの実行時に指定したディレクトリーを再帰的にスキャンします。したがって、コマンドを実行する前に、サービスマニフェスト、config map、ワークロードマニフェスト (Pod、Deployment、ReplicaSet、Job、DaemonSet、StatefulSet など) が、指定されたディレクトリーに YAML ファイルとしてすでに存在している必要があります。
2. kubectl apply -f コマンドを使用して、これらの YAML ファイルをそのまま適用できることを確認します。ビルド時のネットワークポリシージェネレーターは、Helm スタイルのテンプレートを使用するファイルでは機能しません。

3. サービスネットワークアドレスがハードコーディングされていないことを確認します。サービスに接続する必要があるすべてのワークロードは、サービスネットワークアドレスを変数として指定する必要があります。この変数は、ワークロードのリソース環境変数を使用するか、config map で指定できます。

   • 例 1: 環境変数の使用
   • 例 2: config map の使用
   • 例 3: config map の使用

4. サービスネットワークアドレスは、次の公式の正規表現パターンに一致する必要があります。

   (http(s)?://)?<svc>(.<ns>(.svc.cluster.local)?)?(:<portNum>)? 

   1

   1

   このパターンでは、

   • <svc> はサービス名
   • <ns> はサービスを定義した namespace
   • <portNum> は公開されたサービスのポート番号

   以下は、パターンに一致するいくつかの例です。

   • wordpress-mysql:3306
   • redis-follower.redis.svc.cluster.local:6379
   • redis-leader.redis
   • http://rating-service.

手順

1. help コマンドを実行して、ビルド時のネットワークポリシー生成機能が使用可能であることを確認します。

   $ roxctl netpol generate -h

2. netpol generate コマンドを使用してポリシーを生成します。

   $ roxctl netpol generate <folder-path> 

   1

   1

   Kubernetes マニフェストがあるフォルダーのパスを指定します。