28.6. Network Policy
作为具有 admin 角色的用户,您可以为 netobserv 命名空间创建网络策略。
28.6.1. 为 Network Observability 创建网络策略
您可能需要创建一个网络策略来保护到 netobserv 命名空间的入口流量。在 Web 控制台中,您可以使用表单视图创建网络策略。
流程
- 进入到 Networking → NetworkPolicies。
-
从 Project 下拉菜单中选择
netobserv项目。 -
为策略命名。在本例中,策略名为
allow-ingress。 - 点 Add ingress rule 三次来创建三个入站规则。
指定以下内容:
对第一个 Ingress 规则设置以下规格:
- 从 Add allowed source 下拉菜单中选择 Allow pods。
为第二个 Ingress 规则设置以下规格 :
- 从 Add allowed source 下拉菜单中选择 Allow pods。
- 点 + Add namespace selector。
-
添加标签
kubernetes.io/metadata.name,以及选择器openshift-console。
为第三个 Ingress 规则设置以下规格 :
- 从 Add allowed source 下拉菜单中选择 Allow pods。
- 点 + Add namespace selector。
-
添加标签
kubernetes.io/metadata.name,和选择器openshift-monitoring。
验证
- 进入到 Observe → Network Traffic。
- 查看 Traffic Flows 选项卡,或任何标签页,以验证是否显示数据。
- 进入到 Observe → Dashboards。在 NetObserv/Health 选择中,验证流是否嵌套并发送到 Loki,这在第一个图形中表示。
28.6.2. 网络策略示例
以下注解了 netobserv 命名空间的 NetworkPolicy 对象示例:
网络策略示例
kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
name: allow-ingress
namespace: netobserv
spec:
podSelector: {} 1
ingress:
- from:
- podSelector: {} 2
namespaceSelector: 3
matchLabels:
kubernetes.io/metadata.name: openshift-console
- podSelector: {}
namespaceSelector:
matchLabels:
kubernetes.io/metadata.name: openshift-monitoring
policyTypes:
- Ingress
status: {}
其他资源