更新时间:2024-02-01 GMT+08:00

k8sexternalips

基本信息

  • 策略类型:合规
  • 推荐级别:L1
  • 生效资源类型:Service
  • 参数:

    allowedIPs:字符串数组

作用

限制服务externalIP仅为允许的IP地址列表。

策略实例示例

服务的externalIP仅允许allowedIPs中定义的IP。

apiVersion: constraints.gatekeeper.sh/v1beta1
kind: K8sExternalIPs
metadata:
  name: external-ips
spec:
  match:
    kinds:
      - apiGroups: [""]
        kinds: ["Service"]
  parameters:
    allowedIPs:
      - "203.0.113.0"

符合策略实例的资源定义

externalIPs中的IP为允许列表中的IP,符合策略实例。

apiVersion: v1
kind: Service
metadata:
  name: allowed-external-ip
spec:
  selector:
    app: MyApp
  ports:
    - name: http
      protocol: TCP
      port: 80
      targetPort: 8080
  externalIPs:
    - 203.0.113.0

不符合策略实例的资源定义

externalIPs中的IP不为允许列表中的IP,不符合策略实例。

apiVersion: v1
kind: Service
metadata:
  name: disallowed-external-ip
spec:
  selector:
    app: MyApp
  ports:
  - name: http
    protocol: TCP
    port: 80
    targetPort: 8080
  externalIPs:
    - 1.1.1.1