主页
产品
OpenShift Container Platform
4.20
安全性与合规性
11.4. 为操作对象配置网络策略

11.4. 为操作对象配置网络策略

Red Hat OpenShift 的 External Secrets Operator 包括预定义的 NetworkPolicies 用于安全性，但您必须通过 ExternalSecretsConfig 自定义资源配置 additonal 自定义策略，以设置 external-secrets 控制器出口允许策略与外部供应商通信。这些可配置的策略通过 ExternalSecretsConfig 自定义资源设置，以建立出口允许策略。

11.4.1. 添加自定义网络策略以允许对所有外部供应商出口
复制链接

您必须通过 ExternalSecretsConfig 自定义资源配置自定义策略，以允许所有外部供应商的所有出口。

先决条件

必须预定义 ExternalSecretsConfig。
您必须能够定义特定的出口规则，包括去除端口和协议

流程

运行以下命令来编辑 ExternalSecretsConfig CR：

oc edit externalsecretsconfigs.operator.openshift.io cluster

$ oc edit externalsecretsconfigs.operator.openshift.io cluster

Copy to Clipboard

Toggle word wrap

通过编辑 networkPolicies 部分来设置策略：

apiVersion: operator.openshift.io/v1alpha1
kind: ExternalSecretsConfig
metadata:
  name: cluster
spec:
  controllerConfig:
    networkPolicies:
      - name: allow-external-secrets-egress
        componentName: CoreController
        egress: # Allow all egress traffic

apiVersion: operator.openshift.io/v1alpha1
kind: ExternalSecretsConfig
metadata:
  name: cluster
spec:
  controllerConfig:
    networkPolicies:
      - name: allow-external-secrets-egress
        componentName: CoreController
        egress: # Allow all egress traffic

Copy to Clipboard

Toggle word wrap

11.4.2. 添加自定义网络策略以允许到特定供应商的出口
复制链接

您必须通过 ExternalSecretsConfig 自定义资源配置自定义策略，以允许到特定供应商的出口。

先决条件

必须预定义 ExternalSecretsConfig。
您必须能够定义特定的出口规则，包括去除端口和协议

流程

运行以下命令来编辑 ExternalSecretsConfig CR：

oc edit externalsecretsconfigs.operator.openshift.io cluster

$ oc edit externalsecretsconfigs.operator.openshift.io cluster

Copy to Clipboard

Toggle word wrap

通过编辑 networkPolicies 部分来设置策略。以下示例演示了如何允许到 Amazon Web Services (AWS)端点的出口。

apiVersion: operator.openshift.io/v1alpha1
kind: ExternalSecretsConfig
metadata:
  name: cluster
spec:
  controllerConfig:
    networkPolicies:
      - componentName: ExternalSecretsCoreController
        egress:
          # Allow egress to Kubernetes API server, AWS endpoints, and DNS
          - ports:
              - port: 443   # HTTPS (AWS Secrets Manager)
                protocol: TCP
      - name: allow-external-secrets-egress

apiVersion: operator.openshift.io/v1alpha1
kind: ExternalSecretsConfig
metadata:
  name: cluster
spec:
  controllerConfig:
    networkPolicies:
      - componentName: ExternalSecretsCoreController
        egress:
          # Allow egress to Kubernetes API server, AWS endpoints, and DNS
          - ports:
              - port: 443   # HTTPS (AWS Secrets Manager)
                protocol: TCP
      - name: allow-external-secrets-egress

Copy to Clipboard

Toggle word wrap

componentName: 指定为 ExternalSecretsCoreController 的核心控制器的名称。

对于 AWS Secret Manager 等服务，出口规则必须包含必要的端口，如传输控制协议(TCP)端口 443。

11.4.3. 默认入口和出口规则
复制链接

下表总结了默认入口和出口规则。

Expand

组件	Ingress 端口	Egress 端口	描述
`external-secrets`	8080	6443	允许检索指标并与 API 服务器交互
`external-secrets-webhook`	8080/10250	6443	允许检索指标、处理 Webhook 请求并与 API 服务器交互
`external-secrets-cert-controller`	8080	6443	允许检索指标并与 API 服务器交互
`external-secrets-bitwarden-server`	9998	6443	处理 Bitwarden 服务器连接，并与 API 服务器交互
`external-secrets-allow-dns`		5353	启用 DNS 查找来查找外部 secret 供应商。

返回顶部

11.4. 为操作对象配置网络策略

11.4.1. 添加自定义网络策略以允许对所有外部供应商出口
复制链接

11.4.2. 添加自定义网络策略以允许到特定供应商的出口
复制链接

11.4.3. 默认入口和出口规则
复制链接

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

11.4. 为操作对象配置网络策略

11.4.1. 添加自定义网络策略以允许对所有外部供应商出口复制链接链接已复制到粘贴板!

11.4.2. 添加自定义网络策略以允许到特定供应商的出口复制链接链接已复制到粘贴板!

11.4.3. 默认入口和出口规则复制链接链接已复制到粘贴板!

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

11.4.1. 添加自定义网络策略以允许对所有外部供应商出口
复制链接

11.4.2. 添加自定义网络策略以允许到特定供应商的出口
复制链接

11.4.3. 默认入口和出口规则
复制链接