k8s/ kops/awsスイートを試しています。
これまでのところ、かなり順調に進んでいます ( を介してクラスターを更新する際の問題kopsを除いて)
既存のリソース/クラスターを利用して、同じクラスターにアプリの 2 つのフレーバー (つまりproductionと)をデプロイできるようにしたいと考えています。testing
k8s安全のために、これら 2 つのデプロイのリソース間の分離を可能な限り最大化したいと考えています。
間違いなく、さまざまな名前空間で行われています。
調査の結果、相互通信NetworkPolicyを防ぐためにも申請する必要があることがわかりました。namespaceただし、NetworkPolicyリソースを適用するには、サポートするネットワーク ソリューションが必要です (現在は を使用しkubenetていますが、デフォルトではを使用しkopsていません)。
解決策/プラグインは何ですか?
(少なくとも当面は)上記の分離レベルが必要です。これは、すべてのポッドNetworkPolicyに共通CIDRのものがあっても実現できると思います(可能な限り単純なネットワークソリューションが必要であることを強調するためです)それはそれを達成し、複数CIDRsなどでこれ以上派手なことはありません)。
理想的には、リソースをベースの ( ) およびベースの ( ) イングレス ルールに使用できるようにしたいのですが、それだけです (?)NetworkPolicynamespacenamespaceSelectorpodpodSelector