問題タブ [kubernetes-networkpolicy]

メトリックを公開し、 http://localhost:9187/metrics経由でアクセスできる dev 名前空間を実行しているいくつかの nodejs マイクロサービスがあります。

しかし、モニタリング名前空間を実行しているプロメテウス サーバーをデプロイすると、[ターゲット] ページで以下のエラーを受け取りました。

http://1.../metrics を取得:コンテキストの期限を超えました。

これらのどれも名前空間モニタリングからのアクセスを許可していないと思いますので、名前空間モニタリングからのプロメテウス ポッドが以下のポッドをスクレイピングできるように、名前空間 dev に追加のものを追加する必要がありますか、またはこのエラーの理由は何でしょうか?

アプリケーションに netpol を追加して、名前空間の監視からプロメテウスを許可する最良の方法は何ですか?

kubectl get netpol -n dev

kubectl get pods -n モニタリング

少数の IP アドレス (例: 127.18.12.1, 127.19.12.3 ) からのみトラフィックがアプリケーションにアクセスできるようにネットワーク ポリシー ファイルを作成する方法。ファイルhttps://github.com/ahmetb/kubernetes-network-policy-recipesを参照しましたが、満足のいく答えが見つかりませんでした。だれかがネットワーク ポリシー ファイルを作成するのを手伝ってくれると助かります。また、ネットワーク ポリシーについては、Kubernetes の公式ドキュメントを参照しました。

私のサンプルコード

状況は、それらの間で接続されている 2 つの k8s サービスがあるということです。どちらもフラスコサーバーです。それらの間の接続は次のとおりです。誰かが最初のサーバーに POST を行うと、これはテキスト入力を取得し、それを 2 番目のサーバーに POST して、ユーザーが投稿した元のテキストにテキストを追加し、最後に、 2 つのテキストが一緒に最初のサーバーに返され、最終的なテキストがユーザーに返されます。

k8s サービス (マスターとスレーブと呼ばれ、app-master と app-slave のラベルが一致する) 間のこの接続を許可するために、次の networkPolicy があります。

テナントの外部から curl を作成するには、traefik を使用する必要があります。これは、すでに traefik を NodePort として持つテナントで作業しているためです。そのため、マスター サービスを nodePort として公開したり、親切な LoadBalancer に変換したりすることはできません。このアプリケーションのイングレスは次の

また、テナントの IP に対して要求を行う代わりに、アドレス ( https://name_in_the_DNS ) に対して要求を行うことができる DNS もあります。問題は、次のリクエストを実行しようとしたときです。

エラーが表示されます (ゲートウェイ タイムアウト)。「kubectl port-forward」を使用すると、アプリは期待どおりに動作します。この問題を解決する方法はありますか? テナント内に他のアプリケーションがあり、それらに対してcurlリクエストが機能するため、networkPolicyと関係があると思います。

前もって感謝します！

サービスとデプロイメントの yaml を確認する場合: Kubernetes で 2 つのクラスター IP サービスを接続できますか?