如何解决Calico CNI网络政策不影响节点上运行的Pod
我一直在尝试在群集(k8s裸机)上实施网络策略,并且似乎没有在群集节点上运行的Pod上实施任何策略,仅在直接在主节点上运行的Pod上实施。
我尝试过的事情:
- 具有主节点+节点和带有calicoctl且带有k8s数据存储的calicoctl的calico CNI的单个名称空间(我可以看到两个节点上都运行了calico / calicoctl容器)
- 两种networkPolicy类型(networking.k8s.io/v1和projectcalico.org/v3)
- 应用简单的拒绝任何入口/出口策略并测试ping到8.8.8.8(主节点上的Pod被阻塞,其他节点上的Pod仍然可以ping)
感谢您的帮助
解决方法
发现问题出在我使用'hostNetwork'的部署中,该主机使用的子网不是Pod网络的一部分(因此Calico不知道)。
删除'hostNetwork:true'参数使容器获得适用的IP和网络策略。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
