k8s ovn Egressfirewall

EgressFirewall

简介

 EgressFirewall功能使群集管理员能够限制项目中pod可以访问的外部主机，即：只对POD出到外网流量进行限制；

EgressFirewall对象规则适用于与EgressFirewall对象共享命名空间的所有pod，即：egressfirewall 对象规则对单独指定的命名空间下的所有POD生效；

一个命名空间只支持有一个EgressFirewallObject.

例子：

kind: EgressFirewall
apiVersion: k8s.ovn.org/v1
metadata:
  name: default
  namespace: default
spec:
  egress:
  - type: Allow
    to:
      dnsName: www.openvswitch.org
  - type: Allow
    to:
      cidrSelector: 1.2.3.0/24
  - type: Allow
    to:
      cidrSelector: 4.5.6.0/24
    ports:
      - protocol: UDP
        port: 55
  - type: Deny
    to:
      cidrSelector: 0.0.0.0/0

解释：

type: 值为Allow 或 Deny,Allow 表示允许，Deny 表示禁止；

cidrSelector： 选择器使用的子网信息，如：10.244.1.0/24;

ports： 子标签有protocol,值为UDP/TCP/SCTP; port的值为端口号信息值；
　　　　　　端口部分是可选的，允许用户指定特定的端口和允许或拒绝流量的协议；

dnsName：需要访问的dns 地址；
对上面例子的解释：
1、允许默认名称空间中的Pod连接到www.openvswitch.org进行；
2、允许默认认名称空间中的Pod连接到1.2.3.0 ~ 1.2.3.255；
3、仅允许端口号55上UDP协议的流量达到4.5.6.0到4.5.6.255；
4、拒绝所有其他外部主机的流量；

 

规则优先级

1、规则的优先级由其在出口阵列中的位置决定。先处理前一规则，再处理后一规则；
如：前面例子中的，如果将deny 0.0.0.0/0 放到最前面，那么所有的POD流量将无法出到外侧，包括设置的1.2.3.0 ~ 1.2.3.255,dns 允许的等；