2同行回答
推荐先关闭端口,部署完了看nodeport端口再打开对应的端口,默认端口是30000-32767,也可以打开防火墙后放开这些端口。
可以根据您的应用安全登记要求进行不同的设置,全关逐个端口放开,或放开默认的端口范围,或关闭防火墙,最好还是有负载均衡接内网nodeport来对外服务
请参考我的笔记:kubernetes笔记-网络策略
*确认使用了支持网络策略的网络插件,这里使用的是calico查看网络环境及各个pod的labels,缺省情况下,所有pod之间可以自由访问。
新建网络策略access-test1
kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
name: access-test1
spec:
podSelector:
matchLabels:
version: test1
ingress:
- from:
- podSelector:
matchLabels:
run: client
ports: - protocol: TCP
port: 80
创建网络策略对象后,可以查看详细信息。
配置生效后,client不能ping通test1,可以ping通test2,可以访问test1的80端口
网络策略中的From可以有三种配置ipBlock、namespaceSelector 和podSelector,可以通过增加ipBlock的方式,允许kube-node2上的busybox-httpd-test2-7d5f874698-46h9f访问10.244.1.118的80端口.确认修改策略之间是不能访问的。
修改NetworkPolicyaccess-test1,增加ipBlock 10.244.1.0/24
kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
name: access-test1
spec:
podSelector:
matchLabels:
version: test1
ingress:
- from:
- podSelector:
matchLabels:
run: client - ipBlock:
cidr: 10.244.1.0/24
ports: - protocol: TCP
port: 80
验证策略修改成功。
