VA
в стоковых сетевых политиках кубера нет deny action
Size: a a a
2021 June 23
DK
Спасибо, попробую
АБ
Бумажные не котируются :)
VA
имей ввиду, что сетевые политики действуют только на тот неймспейс, где они определены
VA
если ты создашь default deny политику в одном неймспейсе, то это никак не затронет остальные
DK
Я понимаю это, но в таком случае придется определять политику вообще для всех подов этого нс
VA
необязательно. Ты можешь запретить egress только для определенных подов
VA
то есть создать политику запрещающую любой егресс для подов редиса, а затем создать политику которая разрешает что-то
DK
ингресс не обязательно запрещать в таком случае?
VA
зависит от твоей цели
DK
понял, спасибо
VA
вообще на будущее стоит подумать об альтернативных CNI и их реализациях сетевых политик
VA
стоковые куберовские политики при активном использовании превращаются в кошмар
DK
есть адекватные аналоги?
VA
Calico, Cillium
DK
сделал такое, не помогло
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: default-deny-all
spec:
podSelector:
matchLabels:
run: redis05
policyTypes:
- Ingress
- Egress
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: default-deny-all
spec:
podSelector:
matchLabels:
run: redis05
policyTypes:
- Ingress
- Egress
DK
т.е. в данный момент активно 2 политики: дени олл и выше, что разрешает только в редис ходить
VA
хм, странно
DK
мб проблема в самом aks
VA
да, надо пересоздать с включенными политиками