問題タブ [kubernetes-networkpolicy]

私は gke クラスタを持っており、elastic.co に Elasticsearch をデプロイしています。現在、私の gke クラスタには、下りと上りのルールを含む各ポッドのネットワーク ポリシーがあります。私の問題は、エラスティック APM を使用するには、エラスティック デプロイへの送信を許可する必要があることです。

誰でもそれを行う方法を知っていますか? gcp インスタンスの Elastic.co の IP のリストを egress ルールでホワイトリストに登録できるようにするか、gke クラスターと Elastic APM の間の何らかのプロキシを考えています。

gcp にローカルのエラスティック クラスターを配置することで解決できることはわかっていますが、この方法は避けたいと思っています。

名前空間で次のネットワーク ポリシーを構成しました。

しかし、その後、nginx-ingress のマネージド ロード バランサーがダウンします。ネットワーク ポリシーでマネージド ロード バランサーをホワイトリストに登録するにはどうすればよいですか?

すでに VPC CIDR とロード バランサーのパブリック IP をホワイトリストに登録しようとしましたが、役に立ちませんでした

私が達成したいこと：「テスト」名前空間には「ci」および「監視」名前空間を許可する必要がありますが、同時に Digitalocean ロードバランサーからのトラフィックを許可したいと考えています。

どのネームスペースからトラフィックを送信しますか? 私の質問はイングレス トラフィックのみに関するものです。digitalocean ロード バランサーからの着信トラフィックを許可したいと考えています。

nginx-ingress はどこにありますか? 「テスト」名前空間で

nginx-ingress ポッドから別の名前空間のポッドへのトラフィックを希望しますか? いいえ、「testing」名前空間内のトラフィックのみが必要です

何をどこでホワイトリストに登録する必要がありますか? DigitalOcean ロード バランサーは「テスト」名前空間ネットワーク ポリシーでホワイトリストに登録する必要があります

kubernetes V19

allow-port-from-namespace という名前の新しい NetworkPolicy を作成します。これにより、内部の既存の名前空間内の Pod が同じ名前空間内の他の Pod のポート 80 に接続できるようになります。

新しい NetworkPolicy が次のことを確認します。

ポート 80 でリッスンしていない Pod へのアクセスを許可しない 内部の名前空間にない Pod からのアクセスを許可しない

名前空間とポッドにラベルを追加せずにできるかどうかを知る必要がありますか?

2 つ以上のノードと GKE Ingress HTTPS ロードバランサを備えた GKE クラスタ (1.16) があります。
その上にいくつかの名前空間をデプロイしています。
名前空間間のすべてのトラフィックを拒否したいので、ここにあるレシピを使用しています。
ただし、このドキュメントによると(私の externalTrafficPolicy はデフォルト値の を使用していますCluster):

externalTrafficPolicy が Local に設定されていない場合、ネットワーク ポリシーはクラスター内の他のノード IP からの接続も許可する必要があります。

NetworkPolicy 定義でクラスター内の他のノード IP からの接続を許可するにはどうすればよいですか?
私の現在の定義は次のとおりです。