红帽全球峰会You are viewing documentation for a release that is no longer maintained. To view the documentation for the most recent version, see the latest RHACS docs.
6.3.6. 策略生成策略
当您自动生成网络策略时:
Red Hat Advanced Cluster Security for Kubernetes 为命名空间中的每个部署生成一个网络策略。策略的 pod 选择器是部署的 pod 选择器。
- 如果部署已有网络策略,Red Hat Advanced Cluster Security for Kubernetes 不会生成新策略或删除现有的策略。
生成的策略仅限制对现有部署的流量。
- 您稍后创建的部署不会有任何限制,除非您为其创建新的网络策略。
- 如果新部署需要联系网络策略的部署,您可能需要编辑网络策略来允许访问。
-
每个策略的名称与部署名称相同,前缀为
stackrox-generated-。例如,生成的网络策略中的部署depABC的策略名称为stackrox-generated-depABC。所有生成的策略也都有一个 identifying 标签。 Red Hat Advanced Cluster Security for Kubernetes 生成一个允许来自任何 IP 地址的流量的规则,如下所示:
- 该部署具有来自集群外部的进入连接,在选定时间或
- 部署通过节点端口或负载均衡器服务公开。
Red Hat Advanced Cluster Security for Kubernetes 为每个部署生成一个
入站规则,这个规则都会进入一个连接。- 对于同一命名空间中的部署,此规则使用其他部署的 pod 选择器标签。
-
对于不同命名空间中的部署,此规则使用命名空间选择器。因此,Red Hat Advanced Cluster Security for Kubernetes 可以为每个命名空间自动添加一个标签
namespace.metadata.stackrox.io/name。
重要
在个别情况下,如果独立 pod 没有任何标签,生成的策略允许来自或 pod 的整个命名空间的流量。
