3.7. 配置网络

3.7.1. 配置网络策略
复制链接

默认情况下，OpenShift 集群中的所有 Pod 都可以相互通信，即使它们位于不同的命名空间中。在 OpenShift Dev Spaces 上下文中，这使得一个用户项目中的工作区 Pod 有可能将流量发送到不同用户项目中的另一个工作区 Pod。

为安全起见，可以使用 NetworkPolicy 对象配置多租户隔离，以限制用户项目中的 Pod 的所有传入通信。但是，OpenShift Dev Spaces 项目中的 Pod 必须能够与用户项目中的 Pod 通信。

先决条件

OpenShift 集群具有网络限制，如多租户隔离。

流程

将 allow-from-openshift-devspaces NetworkPolicy 应用到每个用户项目。allow-from-openshift-devspaces NetworkPolicy 允许 OpenShift Dev Spaces 命名空间中的传入流量到用户项目中的所有 Pod。

例 3.34. allow-from-openshift-devspaces.yaml

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
    name: allow-from-openshift-devspaces
spec:
    ingress:
    - from:
        - namespaceSelector:
            matchLabels:
                kubernetes.io/metadata.name: openshift-devspaces   
    podSelector: {}   
    policyTypes:
    - Ingress

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
    name: allow-from-openshift-devspaces
spec:
    ingress:
    - from:
        - namespaceSelector:
            matchLabels:
                kubernetes.io/metadata.name: openshift-devspaces


    podSelector: {}


    policyTypes:
    - Ingress

Copy to Clipboard

Toggle word wrap

1: OpenShift Dev Spaces 命名空间。默认为 openshift-devspaces。
2: 空 podSelector 选择项目中的所有 Pod。

其他资源

返回顶部

3.7. 配置网络

3.7.1. 配置网络策略
复制链接

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

3.7. 配置网络

3.7.1. 配置网络策略复制链接链接已复制到粘贴板!

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

3.7.1. 配置网络策略
复制链接