3.7. 配置网络

3.7.1. 配置网络策略

默认情况下，OpenShift 集群中的所有 Pod 都可以相互通信，即使它们位于不同的命名空间中。在 OpenShift Dev Spaces 上下文中，这使得一个用户项目中的工作区 Pod 有可能将流量发送到不同用户项目中的另一个工作区 Pod。

为安全起见，可以使用 NetworkPolicy 对象配置多租户隔离，以限制用户项目中的 Pod 的所有传入通信。但是，OpenShift Dev Spaces 项目中的 Pod 必须能够与用户项目中的 Pod 通信。

先决条件

OpenShift 集群具有网络限制，如多租户隔离。

流程

将 allow-from-openshift-devspaces NetworkPolicy 应用到每个用户项目。allow-from-openshift-devspaces NetworkPolicy 允许 OpenShift Dev Spaces 命名空间中的传入流量到用户项目中的所有 Pod。
例 3.34. allow-from-openshift-devspaces.yaml
```
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
    name: allow-from-openshift-devspaces
spec:
    ingress:
    - from:
        - namespaceSelector:
            matchLabels:
                kubernetes.io/metadata.name: openshift-devspaces   1
    podSelector: {}   2
    policyTypes:
    - Ingress
```
1
OpenShift Dev Spaces 命名空间。默认为 openshift-devspaces。
2
空 podSelector 选择项目中的所有 Pod。

其他资源

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务，以及可以信赖的内容，帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情，请参阅红帽博客.

關於紅帽

我们提供强化的解决方案，使企业能够更轻松地跨平台和环境（从核心数据中心到网络边缘）工作。

© 2024 Red Hat, Inc.