kubernetes - Kubernetes 1.9 未应用出口策略
问题描述
我想拒绝所有出口流量。所以我创建了这个网络策略
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: default-deny
spec:
podSelector: {}
policyTypes:
- Egress
然后我将它应用到命名空间
kubectl -n pps-api-gateway-ci apply -f ~/Documents/networkpolicy.yaml
为了测试这一点,我确实描述了网络策略
kubectl -n pps-api-gateway-ci describe networkpolicy
Name: default-deny
Namespace: pps-api-gateway-ci
Created on: 2018-05-29 13:50:52 -0700 PDT
Labels: <none>
Annotations: kubectl.kubernetes.io/last-applied-configuration=
{"apiVersion":"networking.k8s.io/v1","kind":"NetworkPolicy","metadata":
{"annotations":{},"name":"default-deny","namespace":"pps-api-gateway-
ci"},"spec"...
Spec:
PodSelector: <none> (Allowing the specific traffic to all pods in this
namespace)
Allowing ingress traffic:
<none> (Selected pods are isolated for ingress connectivity)
Allowing egress traffic:
<none> (Selected pods are isolated for egress connectivity)
Policy Types: Egress
然后我登录到那个容器
ping www.google.com
PING www.google.com (216.58.217.100): 56 data bytes
64 bytes from 216.58.217.100: icmp_seq=0 ttl=46 time=2.552 ms
64 bytes from 216.58.217.100: icmp_seq=1 ttl=46 time=1.835 ms
64 bytes from 216.58.217.100: icmp_seq=2 ttl=46 time=1.487 ms
64 bytes from 216.58.217.100: icmp_seq=3 ttl=46 time=2.523 ms
64 bytes from 216.58.217.100: icmp_seq=4 ttl=46 time=1.607 ms
64 bytes from 216.58.217.100: icmp_seq=5 ttl=46 time=1.480 ms
如果应用了我的出口策略,我应该无法 ping。
我正在使用 Kubernetes 1.9.6 版本
解决方案
推荐阅读
- sql-server-2016 - 如何读取包含在 SQL Server 数据仓库中外部表的子文件夹中的所有文件
- vue.js - 在 Vue 中传递给动态组件的道具不是反应式的
- numpy - 在 ArcGIS 10.4 默认 python 中安装 Opencv 时出现 numpy 版本问题
- java - 从 DStream 中提取触发处理的文件名
- sql - 如何在使用 sql 或 pl/sql 从两个表中检索值时添加动态列?
- c# - 为 c# windows 窗体应用程序实现语言文件
- mysql - 如何获取列值连接相同的表值
- typescript - Vscode API:当“案例”显示贡献时
- typescript - 订阅不适用于角度 6 中的可观察对象
- sql - 一张表上有很多外键 - 性能问题