十九基於canel的網路策略

安裝canel之前需要注意

如果您使用的是pod cidr 10.244.0.0/16，請跳至下一步。如果您使用的是其他pod cidr，請使用以下命令設定乙個名為pod_cidr包含pod cidr 的環境變數，並使用pod cidr替換10.244.0.0/16清單。

pod_cidr="" \

sed -i -e "s?10.244.0.0/16?$pod_cidr?g" canal.yaml

wget

因為某種不可藐視的原因可能無法拉取映象，需要提前把映象準備好（所有節點都準備）

這裡的ingress跟ingress規則不同，這裡指的是通訊流量，podselecto表示pod標籤選擇器，那麼我們就可以讓一組pod作為整體設定規則 networkpolicy在命令列中可以簡寫為netpol

piversion: networking.k8s.io/v1 kind: networkpolicy metadata: name: deny-all-ingress namespace: dev #在那個命名空間下表示針對那個命名空間下的某些資源 spec: podselector: {} #pod選擇器設定為空，表示選擇所有pod，即控制整個命名空間 policytypes: - ingress #表示只對ingress生效，但是我們上面又把podselector設定為空，表示預設是ingress拒絕所有的 #但是我們這裡面又沒有加egress，所以預設egress是允許所有的

apiversion: networking.k8s.io/v1 kind: networkpolicy metadata: name: deny-all-ingress namespace: dev spec: podselector: {} #pod選擇器設定為空，表示選擇所有pod，即控制整個命名空間 ingress: - {} #這樣就表示所有放行 policytypes: - ingress #表示只對ingress生效，但是我們上面又把podselector設定為空，表示》預設是ingress拒絕所有的 #但是我們這裡面又沒有加egress，所以預設egress是允許所有的

kubectl explain networkpolicy.spec.ingress.from apiversion: networking.k8s.io/v1 kind: networkpolicy metadata: name: deny-all-ingress namespace: dev spec: podselector: matchlabels: ingress: - from: - ipblock: #放行ip，也可以寫namespaceselector，podselector cidr: 10.244.0.0/16 except: #排除掉某個ip或者子網 - 10.244.10.2/24 ports: - protocol: tcp #tcp port: 80 #80埠

出站與入站是類似的就是ingress和egress的區別 apiversion: networking.k8s.io/v1 kind: networkpolicy metadata: name: deny-all-ingress namespace: dev spec: podselector: matchlabels: egress: - {} policytypes: - egress

①設定規則的時候需要想到，如果針對於乙個命名空間下的pod設定來說，需要注意同一空間是否可以通訊網路策略：命名空間： ②拒絕所有出站，入站； ③放行所有出戰目標本命名空間內的所pod 2和3執行以後同乙個命名空間基本沒問題，跨命名空間就需要額外設定 ④根據具體的需求來設定ingress和egress，難點在於需求

十九基於canel的網路策略

分配策略基於AUTOSAR的任務分配策略

基於Hibernate的主鍵生成策略

PBAC基於策略的許可權控制

十九 基於canel的網路策略

分配策略 基於AUTOSAR的任務分配策略

基於Hibernate的主鍵生成策略

PBAC基於策略的許可權控制

相關推薦

十九基於canel的網路策略

分配策略基於AUTOSAR的任務分配策略