Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

7.2. 创建网络策略

作为集群管理员,您可以为命名空间创建网络策略。

7.2.1. 创建网络策略
复制链接

要定义细致的规则描述集群中项目允许的 ingress 网络流量,您可以创建一个网络策略。

先决条件

  • 集群使用支持 NetworkPolicy 对象的默认 CNI 网络供应商,如设置了 mode: NetworkPolicy 的 OpenShift SDN 网络供应商。此模式是 OpenShift SDN 的默认模式。
  • 已安装 OpenShift CLI(oc)。
  • 使用具有 cluster-admin 权限的用户登陆到集群。

流程

  1. 创建策略规则:

    1. 创建一个 <policy-name>.yaml 文件,其中 <policy-name> 描述策略规则。

    2. 在刚才创建的文件中,定义一个策略对象,如下例所示: 

      kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
  name: <policy-name>
      1 
      
spec:
  podSelector:
  ingress: []
      Copy to Clipboard Toggle word wrap
      1
      为策略对象指定一个名称。

  2. 运行以下命令来创建策略对象: 

    $ oc create -f <policy-name>.yaml -n <project>
    Copy to Clipboard Toggle word wrap

    在以下示例中,在名为 project1 的项目中创建一个新的 NetworkPolicy 对象: 

    $ oc create -f default-deny.yaml -n project1
    Copy to Clipboard Toggle word wrap

    输出示例

    networkpolicy "default-deny" created
    Copy to Clipboard Toggle word wrap

7.2.2. 示例 NetworkPolicy 对象
复制链接

下文解释了示例 NetworkPolicy 对象: 

kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
  name: allow-27107
1 

spec:
  podSelector:
2 

    matchLabels:
      app: mongodb
  ingress:
  - from:
    - podSelector:
3 

        matchLabels:
          app: app
    ports:
4 

    - protocol: TCP
      port: 27017
Copy to Clipboard Toggle word wrap
1
NetworkPolicy 对象的名称
2
一个选择器(selector)用于描述策略应用到的 pod。策略对象只能选择定义了 NetworkPolicy 对象的项目中的 pod。
3
与策略对象允许从中入口流量的 pod 匹配的选择器。选择器将匹配任何项目中的 pod。
4
接受流量的一个或多个目标端口的列表。
返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat