6.3.6. ポリシー生成ストラテジー

ネットワークポリシーを自動生成した場合:

  • Red Hat Advanced Cluster Security for Kubernetes は、namespace 内のデプロイメントごとに、単一のネットワークポリシーを生成します。ポリシーの Pod セレクターは、デプロイメントの Pod セレクターです。

    • デプロイメントにネットワークポリシーがすでにある場合には、Red Hat Advanced Cluster Security for Kubernetes は新しいポリシーを生成したり、既存のポリシーを削除したりしません。
  • 生成されたポリシーは、トラフィックを既存のデプロイメントに制限するだけです。

    • 後に作成するデプロイメントは、ネットワークポリシーを作成または生成しない限り、制限がありません。
    • 新しいデプロイメントでネットワークポリシーを使用してデプロイメントに接続する必要がある場合は、ネットワークポリシーを編集してアクセスを許可する必要があります。
  • 各ポリシーにはデプロイメント名と同じ名前が付けられ、その後に stackrox-generated- が付けられます。たとえば、生成されたネットワークポリシーのデプロイメント depABC のポリシー名は stackrox-generated-depABC です。生成されたすべてのポリシーには、識別ラベルもあります。
  • Red Hat Advanced Cluster Security for Kubernetes は、以下の場合に任意の IP アドレスからのトラフィックを許可する単一のルールを生成します。

    • デプロイメントに、選択した時間内にクラスターの外部からの着信接続がある場合。
    • デプロイメントがノードポートまたはロードバランサーサービス経由で公開されている場合。
  • Red Hat Advanced Cluster Security for Kubernetes は、受信接続があるすべてのデプロイメントに対して、1 つの ingress ルールを生成します。

    • デプロイメントが同じ namespace にある場合には、このルールは他のデプロイメントの Pod セレクターラベルを使用します。
    • デプロイメントが異なる namespace にある場合には、このルールは namespace セレクターを使用します。Red Hat Advanced Cluster Security for Kubernetes は、これを実現するために、ラベル namespace.metadata.stackrox.io/name を各 namespace に自動的に追加します。
重要

スタンドアロン Pod にラベルがない場合には、生成されたポリシーは Pod の全体的な namespace からのトラフィックを許可します。