8.2. 关于从网络图形生成策略(2.0 预览)
Kubernetes 网络策略控制哪些 pod 接收传入的网络流量,以及哪些 pod 可以发送传出流量。通过使用网络策略来启用和禁用 pod 的流量,您可以限制网络攻击面。
这些网络策略是 YAML 配置文件。通常很难深入了解网络流,并手动创建这些文件。您可以使用 RHACS 生成这些文件。当您自动生成网络策略时,RHACS 遵循以下准则:
RHACS 为命名空间中的每个部署生成一个网络策略。策略的 pod 选择器是部署的 pod 选择器。
如果部署已有网络策略,RHACS 不会生成新策略或删除现有策略。
生成的策略只将流量限制到现有部署。
- 您稍后创建的部署不会有任何限制,除非您为它们创建或生成新的网络策略。
- 如果新部署需要与具有网络策略的部署联系,您可能需要编辑网络策略以允许访问。
-
每个策略的名称与部署名称相同,前缀为
stackrox-generated-。例如,生成的网络策略中的部署depABC的策略名称为stackrox-generated-depABC。所有生成的策略也都有一个标识标签。 如果满足以下条件之一,RHACS 会生成一条规则,允许从任何 IP 地址的流量:
- 部署在所选时间内具有来自集群外部的传入连接
- 部署通过节点端口或负载均衡器服务公开
RHACS 为每个部署生成一个
入口规则,从中有传入连接。- 对于同一命名空间中的部署,此规则使用来自其他部署的 pod 选择器标签。
-
对于不同命名空间中的部署,此规则使用命名空间选择器。要实现此目的,RHACS 会自动将标签
namespace.metadata.stackrox.io/name添加到每个命名空间中。
重要
在个别情况下,如果独立 pod 没有任何标签,则生成的策略允许来自或到 pod 的整个命名空间的流量。