12.3. 创建网络策略

作为具有 admin 角色的用户，您可以为命名空间创建网络策略。

12.3.1. 创建网络策略
复制链接

要定义细致的规则来描述集群中命名空间允许的入口或出口网络流量，您可以创建一个网络策略。

注意

如果使用具有 cluster-admin 角色的用户登录，则可以在集群中的任何命名空间中创建网络策略。

先决条件

集群使用支持 NetworkPolicy 对象的集群网络供应商，如 OVN-Kubernetes 网络供应商或设置了 mode: NetworkPolicy 的 OpenShift SDN 网络供应商。此模式是 OpenShift SDN 的默认模式。
已安装 OpenShift CLI（oc）。
您可以使用具有 admin 权限的用户登陆到集群。
您在网络策略要应用到的命名空间中。

流程

创建策略规则：

创建一个 <policy_name>.yaml 文件：
```
touch <policy_name>.yaml
```
```
$ touch <policy_name>.yaml
```
Copy to Clipboard Toggle word wrap
其中：
<policy_name>
指定网络策略文件名。

在您刚才创建的文件中定义网络策略，如下例所示：

拒绝来自所有命名空间中的所有 pod 的入口流量

kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
  name: deny-by-default
spec:
  podSelector:
  ingress: []

kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
  name: deny-by-default
spec:
  podSelector:
  ingress: []

Copy to Clipboard

Toggle word wrap

允许来自所有命名空间中的所有 pod 的入口流量

kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
  name: allow-same-namespace
spec:
  podSelector:
  ingress:
  - from:
    - podSelector: {}

kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
  name: allow-same-namespace
spec:
  podSelector:
  ingress:
  - from:
    - podSelector: {}

Copy to Clipboard

Toggle word wrap

运行以下命令来创建网络策略对象：
```
oc apply -f <policy_name>.yaml -n <namespace>
```
```
$ oc apply -f <policy_name>.yaml -n <namespace>
```
Copy to Clipboard Toggle word wrap
其中：
<policy_name>
指定网络策略文件名。
<namespace>
可选：如果对象在与当前命名空间不同的命名空间中定义，使用它来指定命名空间。
输出示例
```
networkpolicy.networking.k8s.io/default-deny created
```
```
networkpolicy.networking.k8s.io/default-deny created
```
Copy to Clipboard Toggle word wrap

12.3.2. 示例 NetworkPolicy 对象
复制链接

下文解释了示例 NetworkPolicy 对象：

kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
  name: allow-27107 
spec:
  podSelector: 
    matchLabels:
      app: mongodb
  ingress:
  - from:
    - podSelector: 
        matchLabels:
          app: app
    ports: 
    - protocol: TCP
      port: 27017

kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
  name: allow-27107


spec:
  podSelector:


    matchLabels:
      app: mongodb
  ingress:
  - from:
    - podSelector:


        matchLabels:
          app: app
    ports:


    - protocol: TCP
      port: 27017

Copy to Clipboard

Toggle word wrap

1: NetworkPolicy 对象的名称。
2: 描述策略应用到的 pod 的选择器。策略对象只能选择定义 NetworkPolicy 对象的项目中的 pod。
3: 与策略对象允许从中入口流量的 pod 匹配的选择器。选择器与 NetworkPolicy 在同一命名空间中的 pod 匹配。
4: 接受流量的一个或多个目标端口的列表。

返回顶部

12.3. 创建网络策略

12.3.1. 创建网络策略
复制链接

12.3.2. 示例 NetworkPolicy 对象
复制链接

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

12.3. 创建网络策略

12.3.1. 创建网络策略复制链接链接已复制到粘贴板!

12.3.2. 示例 NetworkPolicy 对象复制链接链接已复制到粘贴板!

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

12.3.1. 创建网络策略
复制链接

12.3.2. 示例 NetworkPolicy 对象
复制链接