設定檔適用性:等級 2
使用網路政策隔離叢集網路中的流量。
在同一個 Kubernetes 叢集中運行不同的應用程式會產生一個風險,即一個被攻擊的應用程式可能會攻擊鄰近的應用程式。網路分段對於確保容器僅能與其應該通信的對象進行通信非常重要。網路策略是指定
pod 選擇如何允許彼此及其他網路端點通信的規範。
網路政策是以命名空間為範圍的。當一個網路政策被引入到特定的命名空間時,所有不被該政策允許的流量將被拒絕。然而,如果在一個命名空間中沒有網路政策,則所有流量將被允許進入和離開該命名空間中的
pods。
 |
注意預設情況下,不會建立網路政策。
|
影響
一旦在指定的命名空間中使用網路政策,未被網路政策明確允許的流量將被拒絕。因此,重要的是要確保在引入網路政策時,合法流量不被已封鎖。
稽核
執行以下命令並檢視在叢集中建立的
NetworkPolicy物件。kubectl get networkpolicy --all-namespaces ensure that each namespace defined in the cluster has at least one Network Policy.
補救
按照文件說明,根據需要創建
NetworkPolicy對象。請參閱 Kubernetes 文件以獲取詳細資訊。