Criação de uma política (para um cluster usando o modelo de rede de túnel de container)

Restrições

• Apenas os clusters que usam o modelo de rede de túnel suportam políticas de rede. As políticas de rede são classificadas nos seguintes tipos:
  • Regras de entrada, que são suportadas por todas as versões de cluster do CCE.
  • Regras de saída, que são suportadas apenas por clusters do CCE na versão 1.23 e posterior.
• O isolamento de rede não é suportado para endereços IPv6.

Criação de uma política de rede a partir de YAML

1. Faça logon no console de gerenciamento.
2. No canto superior esquerdo da página, selecione uma região, clique em e escolha Security & Compliance > Host Security Service.
   Figura 1 Acessar o HSS
   

3. No painel de navegação, escolha Prevention > Container Firewalls.
4. Clique em Manage Policy na coluna Operation de um cluster usando o modelo de rede de túnel de container.
5. Clique em Create from YAML acima da lista de políticas.
6. Na página de criação de YAML, insira o conteúdo ou clique em Import.

   Um exemplo de uma política de rede criada a partir de YAML é o seguinte:

   apiVersion: networking.k8s.io/v1
   kind: NetworkPolicy
   metadata:
     name: test-network-policy
     namespace: default
   spec:
     podSelector:                  # The rule takes effect for pods with the role=db label.
       matchLabels:
         role: db
     policyTypes:
       - Ingress
       - Egress
     ingress:                      # Ingress rule
       - from:
           - namespaceSelector: # Only namespaces with project=myproject can be accessed.
               matchLabels:
                 project: myproject
           - podSelector:              # Only the traffic from the pods with the role=frontend label is allowed.
               matchLabels:
                 role: frontend
         ports                       # Only TCP can be used to access port 6379.
           - protocol: TCP
             port: 6379
     egress:                         # Egress rule
       - to:
           - ipBlock:                #Only the 10.0.0.0/24 network segment of the destination object can be accessed.
               cidr: 10.0.0.0/24
         ports:                      # Only TCP can be used to access port 6379 of the destination object.
           - protocol: TCP
             port: 6379
   

7. Clique em OK.

Criação de uma política de rede na GUI

1. Faça logon no console de gerenciamento.
2. No canto superior esquerdo da página, selecione uma região, clique em e escolha Security & Compliance > Host Security Service.
   Figura 2 Acessar o HSS
   

3. No painel de navegação, escolha Prevention > Container Firewalls.
4. Clique em Manage Policy na coluna Operation de um cluster usando o modelo de rede de túnel de container.
5. Clique em Create Network Policy acima da lista de políticas de rede.
   • Policy Name: insira um nome de política de rede.
   • Namespace: selecione um namespace para a política de rede.
   • Selector: insira uma chave e um valor para definir o pod a ser vinculado e clique em Add. Você também pode clicar em Reference Workload Label para fazer referência ao rótulo de uma carga de trabalho existente. Se esse parâmetro não for especificado, todos os pods no namespace serão vinculados por padrão.
   • Regra de entrada: clique em Add Rule na área Inbound Rules. Para obter mais informações, consulte Tabela 1.

     Tabela 1 Adicionar uma regra de entrada

     Parâmetro	Descrição
     Protocol & Port	Insira o tipo de protocolo de entrada e o número da porta dos pods a serem vinculados. Atualmente, TCP e UDP são suportados. Se este parâmetro não for especificado, todo o tráfego de acesso será permitido.
     Source Namespace	Selecione um namespace cujos objetos possam ser acessados. Se esse parâmetro não for especificado, será permitido o acesso aos objetos que pertencem ao mesmo namespace que a política atual.
     Source Pod Label	Selecione um rótulo. Pods com este rótulo podem ser acessados. Se esse parâmetro não for especificado, todos os pods no namespace poderão ser acessados.

   • Regra de saída: clique em Add Rule na área Outbound Rules. Para obter mais informações, consulte Tabela 2.

     Tabela 2 Adicionar uma regra de saída

     Parâmetro	Descrição
     Protocol & Port	Insira a porta e o protocolo dos objetos de destino. Se este parâmetro não for especificado, o acesso não é limitado.
     Destination CIDR Block	Configure blocos CIDR. Este parâmetro permite que as solicitações sejam roteadas para um bloco CIDR especificado (e não para os blocos CIDR de exceção). Separe os blocos CIDR de destino e exceção por barras verticais (|), e separe vários blocos CIDR de exceção por vírgulas (,). Por exemplo, 172.17.0.0/16|172.17.1.0/24,172.17.2.0/24 indica que 172.17.0.0/16 está acessível, mas não para 172.17.1.0/24 ou 172.17.2.0/24.
     Destination Namespace	Namespace onde o objeto de destino está localizado. Se não for especificado, o objeto pertence ao mesmo namespace da política atual.
     Destination Pod Label	Selecione um rótulo. Pods com este rótulo podem ser acessados. Se esse parâmetro não for especificado, todos os pods no namespace poderão ser acessados.

6. Clique em OK.

Operações relacionadas

Sincronização de políticas de rede do CCE

As políticas de rede criadas no CCE podem ser sincronizadas com o HSS.

1. Clique em Synchronize acima da lista de políticas de rede.
2. Verifique o valor de Last synchronized. Se ele mudar para a hora de conclusão da tarefa de sincronização mais recente, a sincronização está concluída.