Kubernetes 只允许出口到internet_Kubernetes_Kubernetes Networkpolicy

Kubernetes 只允许出口到internet

kubernetes

Kubernetes 只允许出口到internet,kubernetes,kubernetes-networkpolicy,Kubernetes,Kubernetes Networkpolicy,我有一个服务站在边缘。这项服务需要通过互联网发送一些东西我用的是Canal CNI 我是否可以定义一个只允许向internet出口，而不允许向集群的其余部分出口的网络策略？类似于以下内容的方法可以工作： kind: NetworkPolicy apiVersion: networking.k8s.io/v1 metadata: name: only-allow-internet spec: policyTypes: - Egress # match all pods in

我有一个服务站在边缘。这项服务需要通过互联网发送一些东西

我用的是Canal CNI

我是否可以定义一个只允许向internet出口，而不允许向集群的其余部分出口的网络策略？

类似于以下内容的方法可以工作：

kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
  name: only-allow-internet
spec:
  policyTypes:
    - Egress
  # match all pods in the namespace
  podSelector: {}
  egress:
    - to:
        - ipBlock:
            # allow all IPs
            cidr: 0.0.0.0/0
            except:
              # except the private IP ranges: https://en.wikipedia.org/wiki/Private_network
              - 10.0.0.0/8
              - 192.168.0.0/16
              - 172.16.0.0/20

它允许所有IP（因为每个IP都匹配

0.0.0.0/0

），但IANA定义为私有IP范围的私有IP范围除外

请注意，这也将中断DNS查找，因为默认情况下kubernetes吊舱使用kubernetes内部的DNS服务器。您可以通过在pod内运行以下命令来验证它：

$ nslookup google.com
$ nslookup google.com 8.8.8.8

第一个将超时，而第二个将工作

默认情况下，Kubernetes DNS IP为

10.96.0.10

。您可以通过检查pod内的

/etc/resolv.conf

来验证它。因此，如果希望DNS查找正常工作，可能需要自定义

网络策略

，进一步定义更具体的IP范围以允许DNS查找

或者，您可以在pod定义级别定义DNS。详情如下:

此外，您不能阻止所有私有IP范围，而只能阻止集群pod/服务范围。您可以在

kube-apiserver

参数中找到它们。

如何允许internet和其他一些服务？