6.2. 为 Network Observability 创建网络策略

如果要进一步自定义 netobserv 和 netobserv-privileged 命名空间的网络策略，您必须禁用来自 FlowCollector CR 的策略的受管安装，并创建自己的。您可以使用在 FlowCollector CR 中启用的网络策略资源作为以下流程的起点：

netobserv 网络策略示例

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
spec:
  ingress:
  - from:
    - podSelector: {}
    - namespaceSelector:
        matchLabels:
          kubernetes.io/metadata.name: netobserv-privileged
  - from:
    - namespaceSelector:
        matchLabels:
          kubernetes.io/metadata.name: openshift-console
    ports:
    - port: 9001
      protocol: TCP
  - from:
    - namespaceSelector:
        matchLabels:
          kubernetes.io/metadata.name: openshift-monitoring
  podSelector: {}
  policyTypes:
  - Ingress

netobserv-privileged 网络策略示例

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: netobserv
  namespace: netobserv-privileged
spec:
  ingress:
  - from:
    - namespaceSelector:
        matchLabels:
          kubernetes.io/metadata.name: openshift-monitoring
  podSelector: {}
  policyTypes:
  - Ingress

流程

进入到 Networking NetworkPolicies。
从 Project 下拉菜单中选择 netobserv 项目。
为策略命名。在本例中，策略名为 allow-ingress。
点 Add ingress rule 三次来创建三个入站规则。
指定以下内容：
1. 对第一个 Ingress 规则设置以下规格：
  1. 从 Add allowed source 下拉菜单中选择 Allow pods。
2. 为第二个 Ingress 规则设置以下规格：
  1. 从 Add allowed source 下拉菜单中选择 Allow pods。
  2. 点 + Add namespace selector。
  3. 添加标签 kubernetes.io/metadata.name，以及选择器 openshift-console。
3. 为第三个 Ingress 规则设置以下规格：
  1. 从 Add allowed source 下拉菜单中选择 Allow pods。
  2. 点 + Add namespace selector。
  3. 添加标签 kubernetes.io/metadata.name，和选择器 openshift-monitoring。

验证

进入到 Observe Network Traffic。
查看 Traffic Flows 选项卡，或任何标签页，以验证是否显示数据。
进入到 Observe Dashboards。在 NetObserv/Health 选择中，验证流是否嵌套并发送到 Loki，这在第一个图形中表示。

其他资源

使用 CLI 创建网络策略

6.2. 为 Network Observability 创建网络策略

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Red Hat legal and privacy links

Red Hat legal and privacy links