问题描述
在 Calico CNI 中,可以执行以下操作来限制通过端口 10250 访问 kubelet API。
如果不允许使用/安装 Calico CNI,如何达到相同的结果?
apiVersion: crd.projectcalico.org/v1
kind: GlobalNetworkPolicy
Metadata:
name: deny-kubelet-port
spec:
types:
- Egress
egress:
- action: Deny
protocol: TCP
destination:
nets:
- 0.0.0.0/0
ports:
- 10250
source: {}
我在文档解决方案中发现禁用所有出口,但我只需要禁用特定端口。
医生说: https://kubernetes.io/docs/concepts/services-networking/network-policies/
显式拒绝策略的能力(目前 NetworkPolicies 的模型默认为拒绝,只能添加允许规则)。
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
Metadata:
name: default-deny-egress
spec:
podSelector: {}
policyTypes:
- Egress
解决方法
暂无找到可以解决该程序问题的有效方法,小编努力寻找整理中!
如果你已经找到好的解决方法,欢迎将解决方案带上本链接一起发送给小编。
小编邮箱:dio#foxmail.com (将#修改为@)