apiVersion: k8s.ovn.org/v1
kind: EgressFirewall
metadata:
name: default
namespace: <namespace> (1)
spec:
egress:
- to:
cidrSelector: <api_server_address_range> (2)
type: Allow
# ...
- to:
cidrSelector: 0.0.0.0/0 (3)
type: Deny- 文档
- OpenShift Container Platform
- 网络
- 网络安全
- 出口防火墙
- 为项目配置出口防火墙 history bug_report picture_as_pdf
OpenShift 文档正在迁移,很快将仅在docs.redhat.com(所有 Red Hat 产品文档的中心)提供。立即体验新的文档体验。
- 关于
- 发行说明
- 入门
- 架构
- 断开连接的环境
- 安装
- 安装概述
- 在阿里云上安装
- 在 AWS 上安装
- 在 Azure 上安装
- 在 Azure Stack Hub 上安装
- 在 GCP 上安装
- 准备在 GCP 上安装
- 配置 GCP 项目
- 在 GCP 上快速安装集群
- 在 GCP 上使用自定义设置安装集群
- 在 GCP 上使用网络自定义设置安装集群
- 在 GCP 的受限网络中安装集群
- 将集群安装到 GCP 中的现有 VPC 中
- 将集群安装到 GCP 中的共享 VPC 中
- 在 GCP 上安装私有集群
- 使用 Deployment Manager 模板在 GCP 上安装集群
- 使用 Deployment Manager 模板将集群安装到 GCP 中的共享 VPC 中
- 在使用用户预配基础设施的受限网络中在 GCP 上安装集群
- 在 GCP 上安装三节点集群
- GCP 的安装配置参数
- 卸载 GCP 上的集群
- 安装支持配置多架构计算机的 GCP 集群
- 在 IBM Cloud 上安装
- 在 Nutanix 上安装
- 使用辅助安装程序进行本地安装
- 使用基于代理的安装程序安装本地集群
- 在单节点上安装
- 在裸机上安装
- 在裸机上部署安装程序配置的集群
- 在 IBM Cloud (Classic) 上安装
- 在 IBM Z 和 IBM LinuxONE 上安装
- 在 IBM Power 上安装
- 在 IBM Power 虚拟服务器上安装
- 在 OpenStack 上安装
- 准备在 OpenStack 上安装
- 准备安装在 OpenStack 上使用 SR-IOV 或 OVS-DPDK 的集群
- 使用自定义设置在 OpenStack 上安装集群
- 在您自己的基础设施上的 OpenStack 上安装集群
- 在受限网络的 OpenStack 上安装集群
- 在 OpenStack 上安装三节点集群
- 安装 OpenStack 后配置网络设置
- OpenStack 云控制器管理器参考指南
- 在 OpenStack 上使用本地磁盘上的 rootVolume 和 etcd 部署
- 卸载 OpenStack 上的集群
- 从您自己的基础设施卸载 OpenStack 上的集群
- OpenStack 的安装配置参数
- 在 OCI 上安装
- 在 VMware vSphere 上安装
- 在任何平台上安装
- 安装配置
- 验证和故障排除
- 安装后配置
- 安装后配置概述
- 配置私有集群
- 在 OpenShift 集群上配置多架构计算机器
- 关于具有多架构计算机的集群
- 在 Azure 上创建具有多架构计算机的集群
- 在 AWS 上创建具有多架构计算机的集群
- 在 GCP 上创建具有多架构计算机的集群
- 在裸机、IBM Power 或 IBM Z 上创建具有多架构计算机的集群
- 在使用 z/VM 的 IBM Z 和 IBM LinuxONE 上创建具有多架构计算机的集群
- 在 LPAR 中在 IBM Z 和 IBM LinuxONE 上创建具有多架构计算机的集群
- 在使用 RHEL KVM 的 IBM Z 和 IBM LinuxONE 上创建具有多架构计算机的集群
- 在 IBM Power 上创建具有多架构计算机的集群
- 使用多架构计算机器管理您的集群
- 使用多架构调整操作符管理多架构集群上的工作负载
- 多架构调整操作符发行说明
- 集群任务
- 节点任务
- 安装后网络配置
- 配置镜像流和镜像注册表
- 存储配置
- 为用户做准备
- 更改云提供商凭据配置
- 配置警报通知
- 将已连接集群转换为断开连接的集群
- 更新集群
- 支持
- Web 控制台
- CLI 工具
- 安全和合规性
- 安全和合规性概述
- 容器安全
- 配置证书
- 证书类型和说明
- 合规性运算符
- 文件完整性运算符
- 安全配置文件操作符
- NBDE Tang服务器操作符
- Red Hat OpenShift 的 cert-manager 操作符
- Red Hat OpenShift 的 cert-manager 操作符概述
- Red Hat OpenShift 的 cert-manager 操作符发行说明
- 安装Red Hat OpenShift 的 cert-manager 操作符
- 配置出站代理
- 使用 cert-manager 操作符 API 字段自定义 cert-manager
- 验证Red Hat OpenShift 的 cert-manager 操作符
- 配置ACME颁发者
- 使用颁发者配置证书
- 使用Red Hat OpenShift 的 cert-manager 操作符保护路由
- 监控Red Hat OpenShift 的 cert-manager 操作符
- 为 cert-manager 和 Red Hat OpenShift 的 cert-manager 操作符配置日志级别
- 卸载Red Hat OpenShift 的 cert-manager 操作符
- 查看审计日志
- 配置审计日志策略
- 配置TLS安全配置文件
- 配置seccomp配置文件
- 允许来自其他主机的基于JavaScript的API服务器访问
- 加密etcd数据
- 扫描Pod漏洞
- 网络绑定磁盘加密 (NBDE)
- 身份验证和授权
- 网络
- 关于网络
- 了解网络
- 零信任网络
- 访问主机
- 网络仪表盘
- 网络操作符
- 网络安全
- 为手动DNS管理配置Ingress控制器
- 验证与端点的连接
- 更改集群网络MTU
- 配置节点端口服务范围
- 配置集群网络IP地址范围
- 配置IP故障转移
- 使用调优插件配置系统控制和接口属性
- 使用流控制传输协议
- 使用精确时间协议硬件
- CIDR 范围定义
- 多个网络
- 硬件网络
- OVN-Kubernetes 网络插件
- 配置路由
- 配置入口集群流量
- Kubernetes NMState
- 配置集群范围代理
- 配置自定义 PKI
- OpenStack 上的负载均衡
- 使用 MetalLB 进行负载均衡
- 将辅助接口指标关联到网络连接
- 存储
- 存储概述
- 理解短暂存储
- 理解持久性存储
- 配置持久性存储
- 使用容器存储接口 (CSI)
- 配置 CSI 卷
- CSI 内联临时卷
- 共享资源 CSI 驱动程序操作符
- CSI 卷快照
- CSI 卷克隆
- 管理默认存储类
- CSI 自动迁移
- 在非优雅节点关机后分离 CSI 卷
- AWS Elastic Block Store CSI 驱动程序操作符
- AWS Elastic File Service CSI 驱动程序操作符
- Azure Disk CSI 驱动程序操作符
- Azure File CSI 驱动程序操作符
- Azure Stack Hub CSI 驱动程序操作符
- GCP PD CSI 驱动程序操作符
- GCP Filestore CSI 驱动程序操作符
- IBM Cloud 块存储 (VPC) CSI 驱动程序操作符
- IBM Power 虚拟服务器块存储 CSI 驱动程序操作符
- OpenStack Cinder CSI 驱动程序操作符
- OpenStack Manila CSI 驱动程序操作符
- Secrets Store CSI 驱动程序操作符
- CIFS/SMB CSI 驱动程序操作符
- VMware vSphere CSI 驱动程序操作符
- 通用临时卷
- 扩展持久卷
- 动态配置
- 注册表
- 操作符
- 操作符概述
- 理解操作符
- 用户任务
- 管理员任务
- 开发 Operators
- 关于 Operator SDK
- 安装 Operator SDK CLI
- 基于 Go 的 Operators
- 基于 Ansible 的 Operators
- 基于 Helm 的 Operators
- 基于 Java 的 Operators
- 定义集群服务版本 (CSV)
- 使用 Bundle 镜像
- 符合 Pod 安全准入
- 令牌认证
- 使用评分卡验证 Operators
- 验证 Operator bundle
- 高可用性或单节点集群检测和支持
- 使用 Prometheus 配置内置监控
- 配置领导者选举
- 配置对多个平台的支持
- 对象修剪实用程序
- 将包清单项目迁移到 bundle 格式
- Operator SDK CLI 参考
- 集群 Operators 参考
- OLM v1(技术预览)
- 扩展
- CI/CD
- 镜像
- 构建应用程序
- 无服务器
- 机器配置
- 机器管理
- 托管控制平面
- 节点
- 节点概述
- 使用 Pod
- 使用自定义指标自动缩放器运算符自动缩放 Pod
- 控制 Pod 放置到节点上(调度)
- 使用作业和守护程序集
- 使用节点
- 容器操作
- 集群操作
- 网络边缘的远程工作节点
- 单节点 OpenShift 集群的工作节点
- 节点指标仪表盘
- 使用 sigstore 管理安全签名
- OpenShift 的 Windows 容器支持
- OpenShift 沙盒容器
- 可观察性
- 可扩展性和性能
- 边缘计算
- 网络远端边缘的挑战
- 准备用于 ZTP 的中心集群
- 更新 GitOps ZTP
- 使用 RHACM 和 SiteConfig 资源安装托管集群
- 使用 GitOps ZTP 手动安装单节点 OpenShift 集群
- vDU 应用工作负载的推荐单节点 OpenShift 集群配置
- 验证 vDU 应用工作负载的集群调优
- 使用 SiteConfig 资源进行高级托管集群配置
- 使用 PolicyGenerator 资源管理集群策略
- 使用 PolicyGenTemplate 资源管理集群策略
- 在 PolicyGenerator 或 PolicyGenTemplate CR 中使用中心模板
- 使用拓扑感知生命周期管理器更新托管集群
- 使用 GitOps ZTP 扩展单节点 OpenShift 集群
- 为单节点 OpenShift 部署预缓存镜像
- 单节点 OpenShift 集群的基于镜像的升级
- 单节点 OpenShift 的基于镜像的安装
- 电信核心 CNF 集群的日常运维
- 专用硬件和驱动程序启用
- 硬件加速器
- 备份和恢复
- 从版本 3 迁移到版本 4
- 容器迁移工具包 (Migration Toolkit for Containers)
- API 参考
- API 概述
- 常用对象参考
- 授权 API
- 关于授权 API
- LocalResourceAccessReview [authorization.openshift.io/v1]
- LocalSubjectAccessReview [authorization.openshift.io/v1]
- ResourceAccessReview [authorization.openshift.io/v1]
- SelfSubjectRulesReview [authorization.openshift.io/v1]
- SubjectAccessReview [authorization.openshift.io/v1]
- SubjectRulesReview [authorization.openshift.io/v1]
- SelfSubjectReview [authentication.k8s.io/v1]
- TokenRequest [authentication.k8s.io/v1]
- TokenReview [authentication.k8s.io/v1]
- LocalSubjectAccessReview [authorization.k8s.io/v1]
- SelfSubjectAccessReview [authorization.k8s.io/v1]
- SelfSubjectRulesReview [authorization.k8s.io/v1]
- SubjectAccessReview [authorization.k8s.io/v1]
- 自动伸缩 API
- 集群 API
- 配置 API
- 关于配置 API
- APIServer [config.openshift.io/v1]
- Authentication [config.openshift.io/v1]
- Build [config.openshift.io/v1]
- ClusterOperator [config.openshift.io/v1]
- ClusterVersion [config.openshift.io/v1]
- Console [config.openshift.io/v1]
- DNS [config.openshift.io/v1]
- FeatureGate [config.openshift.io/v1]
- HelmChartRepository [helm.openshift.io/v1beta1]
- Image [config.openshift.io/v1]
- ImageDigestMirrorSet [config.openshift.io/v1]
- ImageContentPolicy [config.openshift.io/v1]
- ImageTagMirrorSet [config.openshift.io/v1]
- Infrastructure [config.openshift.io/v1]
- Ingress [config.openshift.io/v1]
- Network [config.openshift.io/v1]
- Node [config.openshift.io/v1]
- OAuth [config.openshift.io/v1]
- OperatorHub [config.openshift.io/v1]
- Project [config.openshift.io/v1]
- ProjectHelmChartRepository [helm.openshift.io/v1beta1]
- Proxy [config.openshift.io/v1]
- Scheduler [config.openshift.io/v1]
- 控制台 API
- 关于控制台 API
- ConsoleCLIDownload [console.openshift.io/v1]
- ConsoleExternalLogLink [console.openshift.io/v1]
- ConsoleLink [console.openshift.io/v1]
- ConsoleNotification [console.openshift.io/v1]
- ConsolePlugin [console.openshift.io/v1]
- ConsoleQuickStart [console.openshift.io/v1]
- ConsoleSample [console.openshift.io/v1]
- ConsoleYAMLSample [console.openshift.io/v1]
- 扩展 API
- 关于扩展 API
- APIService [apiregistration.k8s.io/v1]
- CustomResourceDefinition [apiextensions.k8s.io/v1]
- MutatingWebhookConfiguration [admissionregistration.k8s.io/v1]
- ValidatingAdmissionPolicy [admissionregistration.k8s.io/v1]
- ValidatingAdmissionPolicyBinding [admissionregistration.k8s.io/v1]
- ValidatingWebhookConfiguration [admissionregistration.k8s.io/v1]
- 镜像 API
- 关于镜像 API
- Image [image.openshift.io/v1]
- ImageSignature [image.openshift.io/v1]
- ImageStreamImage [image.openshift.io/v1]
- ImageStreamImport [image.openshift.io/v1]
- ImageStreamLayers [image.openshift.io/v1]
- ImageStreamMapping [image.openshift.io/v1]
- ImageStream [image.openshift.io/v1]
- ImageStreamTag [image.openshift.io/v1]
- ImageTag [image.openshift.io/v1]
- SecretList [image.openshift.io/v1]
- 机器 API
- 关于机器 API
- ContainerRuntimeConfig [machineconfiguration.openshift.io/v1]
- ControllerConfig [machineconfiguration.openshift.io/v1]
- ControlPlaneMachineSet [machine.openshift.io/v1]
- KubeletConfig [machineconfiguration.openshift.io/v1]
- MachineConfig [machineconfiguration.openshift.io/v1]
- MachineConfigPool [machineconfiguration.openshift.io/v1]
- MachineHealthCheck [machine.openshift.io/v1beta1]
- Machine [machine.openshift.io/v1beta1]
- MachineSet [machine.openshift.io/v1beta1]
- 元数据 API
- 监控 API
- 关于监控 API
- Alertmanager [monitoring.coreos.com/v1]
- AlertmanagerConfig [monitoring.coreos.com/v1beta1]
- AlertRelabelConfig [monitoring.openshift.io/v1]
- AlertingRule [monitoring.openshift.io/v1]
- PodMonitor [monitoring.coreos.com/v1]
- Probe [monitoring.coreos.com/v1]
- Prometheus [monitoring.coreos.com/v1]
- PrometheusRule [monitoring.coreos.com/v1]
- ServiceMonitor [monitoring.coreos.com/v1]
- ThanosRuler [monitoring.coreos.com/v1]
- NodeMetrics [metrics.k8s.io/v1beta1]
- PodMetrics [metrics.k8s.io/v1beta1]
- 网络 API
- 关于网络 API
- AdminNetworkPolicy [policy.networking.k8s.io/v1alpha1]
- AdminPolicyBasedExternalRoute [k8s.ovn.org/v1]
- BaselineAdminNetworkPolicy [policy.networking.k8s.io/v1alpha1]
- CloudPrivateIPConfig [cloud.network.openshift.io/v1]
- EgressFirewall [k8s.ovn.org/v1]
- EgressIP [k8s.ovn.org/v1]
- EgressQoS [k8s.ovn.org/v1]
- EgressService [k8s.ovn.org/v1]
- Endpoints [undefined/v1]
- EndpointSlice [discovery.k8s.io/v1]
- EgressRouter [network.operator.openshift.io/v1]
- Ingress [networking.k8s.io/v1]
- IngressClass [networking.k8s.io/v1]
- IPPool [whereabouts.cni.cncf.io/v1alpha1]
- MultiNetworkPolicy [k8s.cni.cncf.io/v1beta1]
- NetworkAttachmentDefinition [k8s.cni.cncf.io/v1]
- NetworkPolicy [networking.k8s.io/v1]
- OverlappingRangeIPReservation [whereabouts.cni.cncf.io/v1alpha1]
- PodNetworkConnectivityCheck [controlplane.operator.openshift.io/v1alpha1]
- Route [route.openshift.io/v1]
- Service [undefined/v1]
- 节点 API
- OAuth API
- 操作符 API
- 关于操作符 API
- Authentication [operator.openshift.io/v1]
- CloudCredential [operator.openshift.io/v1]
- ClusterCSIDriver [operator.openshift.io/v1]
- Console [operator.openshift.io/v1]
- Config [operator.openshift.io/v1]
- Config [imageregistry.operator.openshift.io/v1]
- Config [samples.operator.openshift.io/v1]
- CSISnapshotController [operator.openshift.io/v1]
- DNS [operator.openshift.io/v1]
- DNSRecord [ingress.operator.openshift.io/v1]
- Etcd [operator.openshift.io/v1]
- ImageContentSourcePolicy [operator.openshift.io/v1alpha1]
- ImagePruner [imageregistry.operator.openshift.io/v1]
- IngressController [operator.openshift.io/v1]
- InsightsOperator [operator.openshift.io/v1]
- KubeAPIServer [operator.openshift.io/v1]
- KubeControllerManager [operator.openshift.io/v1]
- KubeScheduler [operator.openshift.io/v1]
- KubeStorageVersionMigrator [operator.openshift.io/v1]
- MachineConfiguration [operator.openshift.io/v1]
- Network [operator.openshift.io/v1]
- OpenShiftAPIServer [operator.openshift.io/v1]
- OpenShiftControllerManager [operator.openshift.io/v1]
- OperatorPKI [network.operator.openshift.io/v1]
- ServiceCA [operator.openshift.io/v1]
- Storage [operator.openshift.io/v1]
- OperatorHub APIs
- 关于 OperatorHub APIs
- CatalogSource [operators.coreos.com/v1alpha1]
- ClusterServiceVersion [operators.coreos.com/v1alpha1]
- InstallPlan [operators.coreos.com/v1alpha1]
- OLMConfig [operators.coreos.com/v1]
- Operator [operators.coreos.com/v1]
- OperatorCondition [operators.coreos.com/v2]
- OperatorGroup [operators.coreos.com/v1]
- PackageManifest [packages.operators.coreos.com/v1]
- Subscription [operators.coreos.com/v1alpha1]
- 策略 APIs
- 项目 APIs
- 预配 APIs
- 关于预配 APIs
- BMCEventSubscription [metal3.io/v1alpha1]
- BareMetalHost [metal3.io/v1alpha1]
- DataImage [metal3.io/v1alpha1]
- FirmwareSchema [metal3.io/v1alpha1]
- HardwareData [metal3.io/v1alpha1]
- HostFirmwareComponents [metal3.io/v1alpha1]
- HostFirmwareSettings [metal3.io/v1alpha1]
- Metal3Remediation [infrastructure.cluster.x-k8s.io/v1beta1]
- Metal3RemediationTemplate [infrastructure.cluster.x-k8s.io/v1beta1]
- PreprovisioningImage [metal3.io/v1alpha1]
- Provisioning [metal3.io/v1alpha1]
- RBAC APIs
- 角色 APIs
- 调度和配额 APIs
- 关于调度和配额 APIs
- AppliedClusterResourceQuota [quota.openshift.io/v1]
- ClusterResourceQuota [quota.openshift.io/v1]
- FlowSchema [flowcontrol.apiserver.k8s.io/v1]
- LimitRange [undefined/v1]
- PriorityClass [scheduling.k8s.io/v1]
- PriorityLevelConfiguration [flowcontrol.apiserver.k8s.io/v1]
- ResourceQuota [undefined/v1]
- 安全 APIs
- 关于安全 APIs
- CertificateSigningRequest [certificates.k8s.io/v1]
- CredentialsRequest [cloudcredential.openshift.io/v1]
- PodSecurityPolicyReview [security.openshift.io/v1]
- PodSecurityPolicySelfSubjectReview [security.openshift.io/v1]
- PodSecurityPolicySubjectReview [security.openshift.io/v1]
- RangeAllocation [security.openshift.io/v1]
- Secret [undefined/v1]
- SecurityContextConstraints [security.openshift.io/v1]
- ServiceAccount [undefined/v1]
- 存储 APIs
- 关于存储 APIs
- CSIDriver [storage.k8s.io/v1]
- CSINode [storage.k8s.io/v1]
- CSIStorageCapacity [storage.k8s.io/v1]
- PersistentVolume [undefined/v1]
- PersistentVolumeClaim [undefined/v1]
- StorageClass [storage.k8s.io/v1]
- StorageState [migration.k8s.io/v1alpha1]
- StorageVersionMigration [migration.k8s.io/v1alpha1]
- VolumeAttachment [storage.k8s.io/v1]
- VolumeSnapshot [snapshot.storage.k8s.io/v1]
- VolumeSnapshotClass [snapshot.storage.k8s.io/v1]
- VolumeSnapshotContent [snapshot.storage.k8s.io/v1]
- 模板 APIs
- 用户和组 APIs
- 工作负载 APIs
- 关于工作负载 APIs
- BuildConfig [build.openshift.io/v1]
- Build [build.openshift.io/v1]
- BuildLog [build.openshift.io/v1]
- BuildRequest [build.openshift.io/v1]
- CronJob [batch/v1]
- DaemonSet [apps/v1]
- Deployment [apps/v1]
- DeploymentConfig [apps.openshift.io/v1]
- DeploymentConfigRollback [apps.openshift.io/v1]
- DeploymentLog [apps.openshift.io/v1]
- DeploymentRequest [apps.openshift.io/v1]
- Job [batch/v1]
- Pod [undefined/v1]
- ReplicationController [undefined/v1]
- ReplicaSet [apps/v1]
- StatefulSet [apps/v1]
- Lightspeed
- 服务网格
- 服务网格 3.x
- 服务网格 2.x
- 关于 OpenShift 服务网格
- 服务网格 2.x 版本说明
- 升级服务网格
- 理解服务网格
- 服务网格部署模型
- 服务网格和 Istio 的区别
- 准备安装服务网格
- 安装 Operators
- 创建 ServiceMeshControlPlane
- 将服务添加到服务网格
- 启用 sidecar 注射
- 管理用户和配置文件
- 安全
- 流量管理
- 网关迁移
- 路由迁移
- 指标、日志和追踪
- 性能和可扩展性
- 部署到生产环境
- 联邦
- 扩展
- OpenShift 服务网格控制台插件
- 适用于 2.1 的 3scale WebAssembly
- 适用于 2.0 的 3scale Istio 适配器
- 服务网格故障排除
- 控制平面配置参考
- Kiali 配置参考
- Jaeger 配置参考
- 卸载服务网格
- 服务网格 1.x
- 虚拟化
×
为项目配置出口防火墙
作为集群管理员,您可以为限制离开 OpenShift Container Platform 集群的出站流量的项目创建出站防火墙。
出站防火墙在项目中的工作原理
作为集群管理员,您可以使用出站防火墙来限制某些或所有 Pod 可以从集群内部访问的外部主机。出站防火墙支持以下场景:
-
Pod 只能连接到内部主机,并且不能启动与公共互联网的连接。
-
Pod 只能连接到公共互联网,并且不能启动与 OpenShift Container Platform 集群外部的内部主机的连接。
-
Pod 无法访问 OpenShift Container Platform 集群外部的指定内部子网或主机。
-
Pod 只能连接到特定的外部主机。
例如,您可以允许一个项目访问指定的 IP 范围,但拒绝另一个项目访问相同的范围。或者,您可以限制应用程序开发人员从 Python pip 镜像更新,并强制仅从批准的来源进行更新。
|
出站防火墙不适用于主机网络命名空间。启用了主机网络的 Pod 不受出站防火墙规则的影响。 |
您可以通过创建 EgressFirewall 自定义资源 (CR) 对象来配置出站防火墙策略。出站防火墙匹配满足以下任何条件的网络流量:
-
CIDR 格式的 IP 地址范围
-
解析为 IP 地址的 DNS 名称
-
端口号
-
协议,其中协议为以下协议之一:TCP、UDP 和 SCTP
|
如果您的出站防火墙包含对 以下示例说明了确保 API 服务器访问所需的出站防火墙规则的顺序:
要查找 API 服务器的 IP 地址,请运行 更多信息,请参见 BZ#1988324。 |
|
出站防火墙规则不适用于通过路由器传输的流量。任何有权创建 Route CR 对象的用户都可以通过创建指向禁止目标的路由来绕过出站防火墙策略规则。 |
出站防火墙的局限性
出站防火墙具有以下局限性:
-
任何项目都不能拥有多个 EgressFirewall 对象。
-
每个项目最多可以定义一个具有最多 8,000 条规则的 EgressFirewall 对象。
-
如果您在 Red Hat OpenShift Networking 中使用具有共享网关模式的 OVN-Kubernetes 网络插件,则返回的入站回复会受到出站防火墙规则的影响。如果出站防火墙规则删除入站回复目标 IP,则会丢弃流量。
违反任何这些限制都会导致项目的出站防火墙损坏。因此,所有外部网络流量都会被丢弃,这可能会对您的组织造成安全风险。
可以在kube-node-lease、kube-public、kube-system、openshift和openshift-项目中创建 Egress Firewall 资源。
域名服务器 (DNS) 解析的工作原理
如果您在任何出站防火墙策略规则中使用域名,则域名解析会受到以下限制:
-
域名更新基于生存时间 (TTL) 周期轮询。默认情况下,持续时间为 30 分钟。当出站防火墙控制器查询本地名称服务器以获取域名时,如果响应包含 TTL 且 TTL 小于 30 分钟,则控制器会将该域名的持续时间设置为返回的值。每个域名都在 DNS 记录 TTL 到期后进行查询。
-
如有必要,Pod 必须从相同的本地名称服务器解析域名。否则,出站防火墙控制器和 Pod 已知的域名的 IP 地址可能不同。如果主机名的 IP 地址不同,则出站防火墙可能无法始终如一地执行。
-
由于出站防火墙控制器和 Pod 异步轮询相同的本地名称服务器,因此 Pod 可能会在出站控制器之前获取更新的 IP 地址,从而导致竞争条件。由于此当前限制,仅建议将 EgressFirewall 对象中的域名用于 IP 地址更改不频繁的域名。
|
在出站防火墙策略中使用域名不会影响通过 CoreDNS 进行的本地 DNS 解析。 但是,如果您的出站防火墙策略使用域名,并且外部 DNS 服务器处理受影响 Pod 的 DNS 解析,则必须包含允许访问 DNS 服务器 IP 地址的出站防火墙规则。 |
改进的 DNS 解析和通配符域名解析
在某些情况下,与 DNS 记录关联的 IP 地址可能会频繁更改,或者您可能希望在出站防火墙策略规则中指定通配符域名。
在这种情况下,OVN-Kubernetes 集群管理器会为出站防火墙策略规则中使用的每个唯一域名创建一个DNSNameResolver自定义资源对象。此自定义资源存储以下信息:
|
出站防火墙规则的改进 DNS 解析仅为技术预览功能。技术预览功能不受 Red Hat 生产服务级别协议 (SLA) 的支持,并且可能功能不完整。Red Hat 不建议在生产环境中使用它们。这些功能可让您抢先体验即将推出的产品功能,从而能够在开发过程中测试功能并提供反馈。 有关 Red Hat 技术预览功能的支持范围的更多信息,请参阅技术预览功能支持范围。 |
DNSNameResolver CR 定义示例apiVersion: networking.openshift.io/v1alpha1
kind: DNSNameResolver
spec:
name: www.example.com. (1)
status:
resolvedNames:
- dnsName: www.example.com. (2)
resolvedAddress:
- ip: "1.2.3.4" (3)
ttlSeconds: 60 (4)
lastLookupTime: "2023-08-08T15:07:04Z" (5)| 1 | DNS 名称。这可以是标准 DNS 名称或通配符 DNS 名称。对于通配符 DNS 名称,DNS 名称解析信息包含与通配符 DNS 名称匹配的所有 DNS 名称。 |
| 2 | 与spec.name字段匹配的已解析 DNS 名称。如果spec.name字段包含通配符 DNS 名称,则会创建多个包含与通配符 DNS 名称匹配的标准 DNS 名称(解析后)的dnsName条目。如果通配符 DNS 名称也可以成功解析,则此字段还会存储通配符 DNS 名称。 |
| 3 | 与 DNS 名称关联的当前 IP 地址。 |
| 4 | 上次生存时间 (TTL) 持续时间。 |
| 5 | 上次查找时间。 |
如果在 DNS 解析期间,查询中的 DNS 名称与DNSNameResolver CR 中定义的任何名称匹配,则会相应地更新 CRstatus字段中的先前信息。对于不成功的 DNS 通配符名称查找,将在默认 TTL 30 分钟后重试请求。
OVN-Kubernetes 集群管理器监视EgressFirewall自定义资源对象的更新,并在更新发生时创建、修改或删除与这些出站防火墙策略关联的DNSNameResolver CR。
|
请勿直接修改 |
EgressFirewall 自定义资源 (CR) 对象
您可以为出站防火墙定义一个或多个规则。规则可以是Allow规则或Deny规则,并指定规则适用的流量。
以下 YAML 描述了 EgressFirewall CR 对象:
EgressFirewall 对象
apiVersion: k8s.ovn.org/v1
kind: EgressFirewall
metadata:
name: <name> (1)
spec:
egress: (2)
...| 1 | 对象的名称必须为default。 |
| 2 | 如下一节所述,包含一个或多个出站网络策略规则的集合。 |
EgressFirewall 规则
以下 YAML 描述了出站防火墙规则对象。用户可以选择 CIDR 格式的 IP 地址范围、域名或使用nodeSelector来允许或拒绝出站流量。egress部分需要一个或多个对象的数组。
出站策略规则部分
egress:
- type: <type> (1)
to: (2)
cidrSelector: <cidr> (3)
dnsName: <dns_name> (4)
nodeSelector: <label_name>: <label_value> (5)
ports: (6)
...| 1 | 规则类型。值必须为Allow或Deny。 |
| 2 | 描述出站流量匹配规则的部分,该规则指定cidrSelector字段或dnsName字段。您不能在同一规则中同时使用这两个字段。 |
| 3 | CIDR 格式的 IP 地址范围。 |
| 4 | DNS 域名。 |
| 5 | 标签是用户定义的键值对。标签附加到对象(例如 Pod)。nodeSelector允许选择一个或多个节点标签并将其附加到 Pod。 |
| 6 | 可选:描述规则的网络端口和协议集合的部分。 |
端口部分
ports:
- port: <port> (1)
protocol: <protocol> (2)| 1 | 网络端口,例如80或443。如果您为此字段指定值,则还必须为protocol指定值。 |
| 2 | 网络协议。值必须为TCP、UDP或SCTP。 |
EgressFirewall CR 对象示例
以下示例定义了几个出站防火墙策略规则:
apiVersion: k8s.ovn.org/v1
kind: EgressFirewall
metadata:
name: default
spec:
egress: (1)
- type: Allow
to:
cidrSelector: 1.2.3.0/24
- type: Deny
to:
cidrSelector: 0.0.0.0/0| 1 | 出站防火墙策略规则对象的集合。 |
以下示例定义了一个策略规则,如果流量使用 TCP 协议和目标端口80或任何协议和目标端口443,则拒绝到172.16.1.1 IP 地址主机的流量。
apiVersion: k8s.ovn.org/v1
kind: EgressFirewall
metadata:
name: default
spec:
egress:
- type: Deny
to:
cidrSelector: 172.16.1.1
ports:
- port: 80
protocol: TCP
- port: 443EgressFirewall 的 nodeSelector 示例
作为集群管理员,您可以通过使用nodeSelector指定标签来允许或拒绝对集群中节点的出站流量。标签可以应用于一个或多个节点。以下是一个使用region=east标签的示例:
apiVersion: k8s.ovn.org/v1
kind: EgressFirewall
metadata:
name: default
spec:
egress:
- to:
nodeSelector:
matchLabels:
region: east
type: Allow|
不要为每个节点 IP 地址添加手动规则,请使用节点选择器创建允许出站防火墙后面的 Pod 访问主机网络 Pod 的标签。 |
创建出站防火墙策略对象
作为集群管理员,您可以为项目创建出站防火墙策略对象。
|
如果项目已定义 EgressFirewall 对象,则必须编辑现有策略才能更改出站防火墙规则。 |
先决条件
-
使用 OVN-Kubernetes 网络插件的集群。
-
安装 OpenShift CLI (
oc)。 -
您必须以集群管理员身份登录集群。
步骤
-
创建策略规则
-
创建一个
<policy_name>.yaml文件,其中<policy_name>描述出站策略规则。 -
在您创建的文件中,定义一个出站策略对象。
-
-
输入以下命令以创建策略对象。将
<policy_name>替换为策略的名称,并将<project>替换为规则适用的项目。$ oc create -f <policy_name>.yaml -n <project>在以下示例中,在名为
project1的项目中创建了一个新的EgressFirewall对象。$ oc create -f default.yaml -n project1示例输出egressfirewall.k8s.ovn.org/v1 created -
可选:保存
<policy_name>.yaml文件,以便您以后可以进行更改。