第 3 章 EgressFirewall [k8s.ovn.org/v1]
- 描述
- EgressFirewall 描述了命名空间的当前出口防火墙。系统将针对 pod 的命名空间 EgressFirewall 中的每个 EgressFirewallRule 检查从 pod 到集群外的 IP 地址的流量。如果没有规则匹配(或不存在 EgressFirewall),则默认允许流量。
- 类型
-
object - 必填
-
spec
-
3.1. 规格
| 属性 | 类型 | 描述 |
|---|---|---|
|
|
| APIVersion 定义对象的这个表示法的版本化的 schema。服务器应该将识别的模式转换为最新的内部值,并可拒绝未识别的值。更多信息: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#resources |
|
|
| kind 是一个字符串值,代表此对象所代表的 REST 资源。服务器可以从客户端向其提交请求的端点推断。无法更新。采用驼峰拼写法 (CamelCase)。更多信息: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds |
|
| 标准对象元数据。更多信息: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata | |
|
|
| 指定 EgressFirewall 所需的行为。 |
|
|
| 观察 EgressFirewall 的状态 |
3.1.1. .spec
- 描述
- 指定 EgressFirewall 所需的行为。
- 类型
-
object - 必填
-
egress
-
| 属性 | 类型 | 描述 |
|---|---|---|
|
|
| 出口防火墙规则对象的集合 |
|
|
| EgressFirewallRule 是一个单一的 egressfirewall 规则对象 |
3.1.2. .spec.egress
- 描述
- 出口防火墙规则对象的集合
- 类型
-
array
3.1.3. .spec.egress[]
- 描述
- EgressFirewallRule 是一个单一的 egressfirewall 规则对象
- 类型
-
object - 必填
-
至 -
type
-
| 属性 | 类型 | 描述 |
|---|---|---|
|
|
| 端口指定规则适用的端口和协议 |
|
|
| EgressFirewallPort 指定允许或拒绝流量的端口 |
|
|
| to 是允许/拒绝流量的目标 |
|
|
| type 将此标记为 "Allow" 或 "Deny" 规则 |
3.1.4. .spec.egress[].ports
- 描述
- 端口指定规则适用的端口和协议
- 类型
-
array
3.1.5. .spec.egress[].ports[]
- 描述
- EgressFirewallPort 指定允许或拒绝流量的端口
- 类型
-
object - 必填
-
port -
protocol
-
| 属性 | 类型 | 描述 |
|---|---|---|
|
|
| 流量必须匹配的端口 |
|
|
| 流量必须匹配的协议(tcp、udp、sctp)。 |
3.1.6. .spec.egress[].to
- 描述
- to 是允许/拒绝流量的目标
- 类型
-
object
| 属性 | 类型 | 描述 |
|---|---|---|
|
|
| cidrSelector 是允许/拒绝流量的 CIDR 范围。如果设置了,则需要取消设置 dnsName。 |
|
|
| dnsName 是允许/拒绝流量的域名。如果设置了,则必须取消设置 cidrSelector。 |
3.1.7. .status
- 描述
- 观察 EgressFirewall 的状态
- 类型
-
object
| 属性 | 类型 | 描述 |
|---|---|---|
|
|
|
