14.4.2. EgressFirewall 自定义资源(CR)对象

您可以为出口防火墙定义一个或多个规则。规则是一个 Allow 规则,也可以是一个 Deny 规则,它包括规则适用的流量规格。

以下 YAML 描述了 EgressFirewall CR 对象:

EgressFirewall 对象

apiVersion: k8s.ovn.org/v1
kind: EgressFirewall
metadata:
  name: <name> 1
spec:
  egress: 2
    ...

1
对象的名称必须是 default
2
以下部分所述,一个或多个出口网络策略规则的集合。

14.4.2.1. EgressFirewall 规则

以下 YAML 描述了一个出口防火墙规则对象。egress 小节需要一个包括一个或多个对象的数组。

出口策略规则小节

egress:
- type: <type> 1
  to: 2
    cidrSelector: <cidr> 3
  ports: 4
      ...

1
规则类型。该值必须是 AllowDeny
2
描述出口流量匹配规则的小节。
3
CIDR 格式的 IP 地址范围。
4
可选:描述该规则的网络端口和协议集合的小节。

端口小节

ports:
- port: <port> 1
  protocol: <protocol> 2

1
网络端口,比如 80443。如果为这个字段指定值,还必须为 protocol 指定一个值。
2
网络协议。该值必须是 TCPUDPSCTP