文档首页> 云容器引擎 CCE> 用户指南> 旧版UI> 命名空间> 设置命名空间级的网络策略
更新时间:2022-05-19 GMT+08:00
分享

设置命名空间级的网络策略

您可以通过网络隔离开关,设置命名空间层面的网络策略。

例如命名空间default,网络隔离的默认状态为“隔离状态未开启”,表示“当前集群下的所有工作负载”都可以访问“命名空间default下的工作负载”

若您需要设置其它工作负载不可以访问“命名空间default下的工作负载”,请参照以下步骤设置:

“容器隧道网络”模式的集群支持网络隔离。

前提条件

操作步骤

  1. 登录为CCE控制台,在左侧导航栏中选择“资源管理 > 命名空间”
  2. 在“集群”下拉框中,选择命名空间所在的集群。
  3. 在待设置命名空间(例如default)后,将网络隔离一栏的“隔离状态未开启”改为“隔离状态已开启”,开启后,当前集群内的其他工作负载都不能访问此命名空间下的工作负载。

    设置完成后,当前集群内其它命名空间下的工作负载都不能访问default下的工作负载。

    图1 命名空间网络策略

网络隔离说明

打开网络隔离其实是在这个命名空间下创建一个NetworkPolicy,这个NetworkPolicy选择命名空间下所有的Pod,然后不让其他命名空间的Pod访问。

kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
    name: deny-default
    namespace: default
spec:
    ingress:
        - from:
          - podSelector: {}
    podSelector: {}                     # {}表示选择所有Pod

NetworkPolicy还可以自定义,具体请参见NetworkPolicy

分享:

    相关文档

    相关产品

close