13.2.4.6. networkPolicyPeers
使用 networkPolicyPeers 配置网络策略,以限制对网络级别的监听器的访问。以下示例显示了用于 普通 和 a tls 侦听器的 networkPolicyPeers 配置。
listeners:
#...
- name: plain
port: 9092
type: internal
tls: true
authentication:
type: scram-sha-512
networkPolicyPeers:
- podSelector:
matchLabels:
app: kafka-sasl-consumer
- podSelector:
matchLabels:
app: kafka-sasl-producer
- name: tls
port: 9093
type: internal
tls: true
authentication:
type: tls
networkPolicyPeers:
- namespaceSelector:
matchLabels:
project: myproject
- namespaceSelector:
matchLabels:
project: myproject2
# ...在这个示例中:
-
只有与标签
app: kafka-sasl-consumer和app: kafka-sasl-producer匹配的应用程序 pod 可以连接到普通的监听程序。应用程序 pod 必须与 Kafka 代理在同一命名空间中运行。 -
只有命名空间中运行的应用容器集与 labels
项目匹配:myproject 和 project:myproject2可以连接到tls侦听器。
networkPolicyPeers 字段的语法与 NetworkPolicy 资源中的 from 字段相同。