如何解决GKE Kubernetes网络策略允许其他节点IP
我有一个带有2个以上节点的GKE集群(1.16)和一个GKE入口HTTPS负载均衡器。
我正在上面部署几个名称空间。
我想拒绝名称空间之间的所有流量,因此我使用的是here中的配方。
但是,根据此documentation(我的externalTrafficPolicy使用的是默认值Cluster
)
如果externalTrafficPolicy未设置为Local,则网络策略还必须允许来自群集中其他节点IP的连接。
如何在我的NetworkPolicy定义中允许群集中其他节点IP的连接?
我当前的定义是:
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: foo
spec:
podSelector:
matchLabels:
ingress:
- from:
- podSelector: {}
- ipBlock:
cidr: 35.191.0.0/16
- ipBlock:
cidr: 130.211.0.0/22
解决方法
GKE节点在专用地址空间上进行通信,因此您可以允许10.0.0.0/8
(或更具体而言)。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。