我对 Calico 的网络策略相当陌生。我在集群上创建了以下 NetworkPolicy:
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: nginxnp-po
namespace: default
spec:
podSelector:
matchLabels:
run: nginxnp
policyTypes:
- Ingress
ingress:
- from:
- podSelector:
matchLabels:
acces: frontend
ports:
- port: 80
这就是我的阅读方式:所有具有选择器run=nginxnp的 pod 只能在端口 80 上从每个具有选择器的 pod 访问access=frontend。
这是我的 nginx pod(其中有一个正在运行的 nginx):
$ kubectl get pods -l run=nginxnp
NAME READY STATUS RESTARTS AGE
nginxnp-9b49f4b8d-tkz6q 1/1 Running 0 36h
我创建了一个这样的busybox容器:
$ kubectl run busybox --image=busybox --restart=Never --labels=access=frontend -- sleep 3600
我可以看到它与选择器匹配access=frontend:
$ kubectl get pods -l access=frontend
NAME READY STATUS RESTARTS AGE
busybox 1/1 Running 0 6m30s
但是,当我执行进入busybox pod并尝试获取nginx pod时,连接仍然被拒绝。
我还尝试设置一个允许流量反过来的出口规则,但这也没有做任何事情。据我了解网络策略:没有设置规则时,没有任何内容被阻止。因此,当我没有设置出口规则时,出口不应该被阻止。
如果我删除网络策略,它会起作用。任何指针都受到高度赞赏。