13.2.4.6. networkPolicyPeers
使用 networkPolicyPeers
配置网络策略,以限制对网络级别的监听器的访问。以下示例显示了用于 普通
和 a tls
侦听器的 networkPolicyPeers
配置。
listeners: #... - name: plain port: 9092 type: internal tls: true authentication: type: scram-sha-512 networkPolicyPeers: - podSelector: matchLabels: app: kafka-sasl-consumer - podSelector: matchLabels: app: kafka-sasl-producer - name: tls port: 9093 type: internal tls: true authentication: type: tls networkPolicyPeers: - namespaceSelector: matchLabels: project: myproject - namespaceSelector: matchLabels: project: myproject2 # ...
在这个示例中:
-
只有与标签
app: kafka-sasl-consumer
和app: kafka-sasl-producer
匹配的应用程序 pod 可以连接到普通的
监听程序。应用程序 pod 必须与 Kafka 代理在同一命名空间中运行。 -
只有命名空间中运行的应用容器集与 labels
项目匹配:myproject 和 project
:myproject2
可以连接到tls
侦听器。
networkPolicyPeers
字段的语法与 NetworkPolicy
资源中的 from
字段相同。