4.3.3. 使用网络策略限制对 Kafka 侦听器的访问
您可以使用 networkPolicyPeers
属性将监听器的访问限制为所选应用程序。
先决条件
- 个支持 Ingress NetworkPolicies 的 OpenShift 集群。
- Cluster Operator 正在运行。
步骤
-
打开
Kafka
资源。 在
networkPolicyPeers
属性中,定义允许访问 Kafka 集群的应用程序 pod 或命名空间。例如,将 a
tls
侦听程序配置为只允许来自标签app
设置为kafka-client
的应用程序 pod 的连接:apiVersion: kafka.strimzi.io/v1beta1 kind: Kafka spec: kafka: # ... listeners: - name: tls port: 9093 type: internal tls: true authentication: type: tls networkPolicyPeers: - podSelector: matchLabels: app: kafka-client # ... zookeeper: # ...
创建或更新资源。
使用
oc apply
:oc apply -f your-file
其他资源
-
有关该架构的更多信息,请参阅 NetworkPolicyPeer API 参考 和
GenericKafkaListener
模式参考。