6.3.6. ポリシー生成ストラテジー
ネットワークポリシーを自動生成した場合:
Red Hat Advanced Cluster Security for Kubernetes は、namespace 内のデプロイメントごとに、単一のネットワークポリシーを生成します。ポリシーの Pod セレクターは、デプロイメントの Pod セレクターです。
- デプロイメントにネットワークポリシーがすでにある場合には、Red Hat Advanced Cluster Security for Kubernetes は新しいポリシーを生成したり、既存のポリシーを削除したりしません。
生成されたポリシーは、トラフィックを既存のデプロイメントに制限するだけです。
- 後に作成するデプロイメントは、ネットワークポリシーを作成または生成しない限り、制限がありません。
- 新しいデプロイメントでネットワークポリシーを使用してデプロイメントに接続する必要がある場合は、ネットワークポリシーを編集してアクセスを許可する必要があります。
-
各ポリシーにはデプロイメント名と同じ名前が付けられ、その後に
stackrox-generated-が付けられます。たとえば、生成されたネットワークポリシーのデプロイメントdepABCのポリシー名はstackrox-generated-depABCです。生成されたすべてのポリシーには、識別ラベルもあります。 Red Hat Advanced Cluster Security for Kubernetes は、以下の場合に任意の IP アドレスからのトラフィックを許可する単一のルールを生成します。
- デプロイメントに、選択した時間内にクラスターの外部からの着信接続がある場合。
- デプロイメントがノードポートまたはロードバランサーサービス経由で公開されている場合。
Red Hat Advanced Cluster Security for Kubernetes は、受信接続があるすべてのデプロイメントに対して、1 つの
ingressルールを生成します。- デプロイメントが同じ namespace にある場合には、このルールは他のデプロイメントの Pod セレクターラベルを使用します。
-
デプロイメントが異なる namespace にある場合には、このルールは namespace セレクターを使用します。Red Hat Advanced Cluster Security for Kubernetes は、これを実現するために、ラベル
namespace.metadata.stackrox.io/nameを各 namespace に自動的に追加します。
重要
スタンドアロン Pod にラベルがない場合には、生成されたポリシーは Pod の全体的な namespace からのトラフィックを許可します。