御风而翔  
个人云笔记
k8s NetworkPolicy

https://kubernetes.io/zh-cn/docs/concepts/services-networking/network-policies/#the-two-sorts-of-pod-isolation

复制代码
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: test-network-policy
  namespace: default
spec:
  podSelector:
    matchLabels:
      role: db           //这个策略是写给谁的,是针对label是db的pod做的访问限制
  policyTypes:           //如果该项不配置,会默认配置Ingress。
    - Ingress           
    - Egress
  ingress:              // 入口流量
    - from:              //配置哪些可以访问(放通)
        - ipBlock:
            cidr: 172.17.0.0/16       //该网段允许放行
            except:                   // 上面的地址,排除掉下面这个地址区间
              - 172.17.1.0/24
        - namespaceSelector:          //  符合这个条件的也可以放行。  注意前面的  -  ,都是from 下面具体的条件,满足其一即可。 
            matchLabels:
              project: myproject
        - podSelector:              //  符合这个条件的也可以放行。注意前面的 - ,都是from下面的具体条件, 满足其一即可。
            matchLabels:
              role: frontend
      ports:                       //   配置了ports,代表只能访问 上面  db 这个pod的 6379 端口,不配ports则表示没有限制
       - protocol: TCP
          port: 6379
  egress:                         // 只能访问下面这些服务,限制出口
    - to:
        - ipBlock:
            cidr: 10.0.0.0/24
      ports:                     // 只能访问这个端口
        - protocol: TCP
          port: 5978
复制代码

 

posted on   个人记录  阅读(21)  评论(0编辑  收藏  举报
相关博文:
· k8s 建service
· 通过operator部署istio
· K8s网络策略
· k8s网路策略
· k8s安全之Network Policy
阅读排行:
· Manus重磅发布:全球首款通用AI代理技术深度解析与实战指南
· 被坑几百块钱后,我竟然真的恢复了删除的微信聊天记录!
· 没有Manus邀请码?试试免邀请码的MGX或者开源的OpenManus吧
· 【自荐】一款简洁、开源的在线白板工具 Drawnix
· 园子的第一款AI主题卫衣上架——"HELLO! HOW CAN I ASSIST YOU TODAY
 
Copyright © 2025 个人记录
Powered by .NET 9.0 on Kubernetes
博客园
点击右上角即可分享
微信分享提示