問題タブ [kubernetes-networkpolicy]

NetworkPolicyAzure Kubernetes Service (AKS) インスタンスですべてのイングレス トラフィックをブロックするための基本的なリソースを取得するのに問題があります。azureAKS は、ネットワーク プラグイン (つまり、Azure CNI)を使用してセットアップされます。

私たちの問題は、オンプレミス ネットワークへの VNet ピアリングにより、AKS ワークロードが内部ネットワークからの悪意のある人物にさらされるようになったことです。そのため、イングレス コントローラーがありますが、それをすべての非システム ワークロードの唯一のエントリポイントにしたいと考えています。

NetworkPolicyリソースは次のとおりです。

別の名前空間の Pod でも、サービス エンドポイントと Pod IP アドレスの両方に接続できます ( をkubectl get pods --output=wide --namespace=hello-namespace-2参照)。同じ VNet 内の Azure VM でも、IP アドレスに直接接続できます。

Namespace、StatefulSet、Service、Ingress、および NetworkPolicy の定義は以下のとおりです。

azureこれは、ネットワーク コントローラーがインストールされていないかのように動作します。これは、Azure CNI のネットワーク プラグインが表していると思います。Calico のようなネットワーク コントローラーを明示的にインストールする必要がありますか?

この動作に関する洞察は大歓迎です。

ありがとう！

特定のポート(ポート 9200 など) でのみ、同じ名前空間内のすべてのポッド間のトラフィック (イングレス + エグレス) を受け入れるネットワーク ポリシーを作成する必要があります。

を使用して calico という名前の名前空間にラベルを付けましたkubectl label ns calico type=clico

以下のポリシーを試しましたが、ポリシーを作成した後、ポート 9200 で telnet をテストするポッドを作成しましたが、許可されません。

Rancher を使用して、Canal を CNI としてクラスターをセットアップしています。Traefik を Ingress Controller として使用することに決め、NetworkPolicy を作成したいと考えました。ProjectIsolation を無効にし、Traefik が kube-system 名前空間の System プロジェクトで実行されています。

私はこのポリシーを作成しました:

しかし、どういうわけか、これを機能させることはできません。接続がタイムアウトになり、それだけです。このポリシーに大きな問題はありますか? NetworkPolicies について理解できなかったことがありますか?

前もって感謝します

app=foo名前空間にラベルを持つポッドがあるとします。

このポッドは、同じ名前空間内の他の 2 つのポッドからのみアクセスできるようにしたい (他の他のポッドはアクセスできない)。NetworkPolicy

これらのポッドには次のラベルが付いています

ポッド1

私の質問は、次のセクションで2 つpodSelectorのフィールドを定義できるかどうかです。ingressNetworkPolicy

上記のNetworkPolicy定義は私の要件を満たすでしょうか?