红帽全球峰会第 6 章 Network Policy
作为具有 admin 角色的用户,您可以为 netobserv 命名空间创建一个网络策略,以保护对 Network Observability Operator 的入站访问。
6.1. 使用 FlowCollector 自定义资源配置 ingress 网络策略
复制链接链接已复制到粘贴板!
您可以通过将 spec.NetworkPolicy.enable 规格设置为 true,将 FlowCollector 自定义资源 (CR) 配置为 Network Observability 部署入口网络策略。默认情况下,规格为 false。
如果您在具有网络策略的不同命名空间中安装 Loki、Kafka 或任何导出器,您必须确保 Network Observability 组件可以与它们通信。考虑以下有关您的设置的信息:
-
到 Loki 的连接(由
FlowCollectorCR 中的spec.loki参数定义) -
到 Kafka 的连接(由
FlowCollectorCR 的spec.kafka参数定义) -
到任何导出器的连接(由 FlowCollector CR
spec.exporters参数定义) -
如果您使用 Loki 并将其包含在策略目标中,到外部对象存储的连接(在
LokiStack相关的 secret 中定义的)
流程
-
.在 Web 控制台中,进入 Operators
Installed Operators 页。 - 在 Network Observability 的 Provided APIs 标题下,选择 Flow Collector。
- 选择 cluster,然后选择 YAML 选项卡。
配置
FlowCollectorCR。示例配置示例如下:网络策略的
FlowCollectorCR 示例Copy to Clipboard Copied! Toggle word wrap Toggle overflow
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}