更新时间:2021-10-15 GMT+08:00
分享

子网访问控制

默认情况下Kube-OVN创建的子网之间可以相互通信,Pod也可以通过网关访问外部网络。

如需对子网间的访问进行控制,可以在子网CRD中将private设置为true,则该子网将和其他子网以及外部网络隔离,只能进行子网内部的通信。如需开白名单,可以通过allSubnets进行设置。

更细粒度的访问控制可以使用Kubernetes的NetworkPolicy来实现,Kube-OVN本身实现了NetworkPolicy的规则,并且NetworkPolicy规则的优先级将会高于子网CRD中的访问控制设置。

开启访问控制的子网示例:

vim subnet-acl.yaml
apiVersion: kubeovn.io/v1
kind: Subnet
metadata:
  name: subnet-acl
spec:
  protocol: IPv4
  default: false
  namespaces:
  - ns1
  - ns2
  cidrBlock: 10.69.0.0/16
  gateway: 100.64.0.1
  excludeIps:
  - 100.64.0.1
  private: true
  allowSubnets:
  - 10.16.0.0/16
  - 10.18.0.0/16
kubectl create -f subnet-acl.yaml
分享:

    相关文档

    相关产品

close