Rancher を使用して、Canal を CNI としてクラスターをセットアップしています。Traefik を Ingress Controller として使用することに決め、NetworkPolicy を作成したいと考えました。ProjectIsolation を無効にし、Traefik が kube-system 名前空間の System プロジェクトで実行されています。
私はこのポリシーを作成しました:
# deny all ingress traffic
kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
name: default-deny-all
spec:
podSelector: {}
ingress:
- from:
- podSelector: {}
---
# allow traefik
kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
name: ingress-allow-traefik
spec:
podSelector: {}
ingress:
- from:
- namespaceSelector:
matchLabels:
namespace: kube-system
podSelector:
matchLabels:
app: traefik
---
# allow backnet
kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
name: ingress-allow-backnet
spec:
podSelector: {}
ingress:
- from:
- ipBlock:
cidr: 10.0.0.0/24
- ipBlock:
cidr: 10.1.0.0/24
- ipBlock:
cidr: 10.2.0.0/24
- ipBlock:
cidr: 192.168.0.0/24
しかし、どういうわけか、これを機能させることはできません。接続がタイムアウトになり、それだけです。このポリシーに大きな問題はありますか? NetworkPolicies について理解できなかったことがありますか?
前もって感謝します