Kubernetes pods间的网络策略

我的场景如下图所示：

经过几天的努力，我找到了一种方法，根据一条规则来阻止pod之间的连接。但无论是在谷歌云平台还是在当地的Kubernetes，这对我都不起作用

---

我的场景非常简单，我需要一种基于规则（例如名称空间、工作负载标签等）的方法来阻止POD之间的连接。乍一看，我认为这将对我有效，但我不知道为什么它在谷歌云上不起作用，即使我使用“网络策略启用”选项从头开始创建集群。

你可以使用Istio Sidecar解决这个问题：

---

另一个Istio解决方案是使用AuthorizationPolicy:

您可以使用Istio Sidecar来解决此问题：

---

另一个Istio解决方案是使用AuthorizationPolicy:

网络策略将允许您完全按照图中所述执行操作。可以基于标签或命名空间允许或阻止

当你不解释你到底做了什么和什么不起作用时，很难帮助你。使用您创建的实际网络策略YAML更新您的问题，理想情况下，还可以使用pod从名称空间发送kubectl get-pod-show标签

---

您所说的“本地kubernetes”是什么意思也不清楚，但它在很大程度上取决于您使用的网络CNI，因为它必须支持网络策略。例如，印花布或纤毛支持它。Miniku可能处于默认设置中，所以您应该遵循以下指南：

网络策略将允许您完全按照图片上所述执行操作。可以基于标签或命名空间允许或阻止

当你不解释你到底做了什么和什么不起作用时，很难帮助你。使用您创建的实际网络策略YAML更新您的问题，理想情况下，还可以使用pod从名称空间发送kubectl get-pod-show标签

---

您所说的“本地kubernetes”是什么意思也不清楚，但它在很大程度上取决于您使用的网络CNI，因为它必须支持网络策略。例如，印花布或纤毛支持它。Minikube在它的默认设置中没有，所以你应该遵循以下指南：

只是为了更新，因为我参与了这篇文章的问题。 问题在于注射了istio的豆荚。在本例中，名称空间中的所有pod都是空的，因为它启用了istio injection=enabled。 当由匹配选择器、出口或入口进行选择时，NetworkPolicy规则未生效，并且在创建NetworkPolicy之前，所涉及的POD已在运行。通过杀死pod然后启动它，标签匹配的pod可以正常访问。我不知道是否有一种方法可以在不重启的情况下刷新吊舱内的侧车。

---

创建NetworkPolicy后启动的Pods没有解决此帖子的问题。

只是为了更新，因为我参与了此帖子的问题。 问题在于注射了istio的豆荚。在本例中，名称空间中的所有pod都是空的，因为它启用了istio injection=enabled。 当由匹配选择器、出口或入口进行选择时，NetworkPolicy规则未生效，并且在创建NetworkPolicy之前，所涉及的POD已在运行。通过杀死pod然后启动它，标签匹配的pod可以正常访问。我不知道是否有一种方法可以在不重启的情况下刷新吊舱内的侧车。 NetworkPolicy创建后启动的Pods没有解决此帖子的问题