$ cat << EOF| oc create -f -
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: allow-from-openshift-ingress
spec:
ingress:
- from:
- namespaceSelector:
matchLabels:
policy-group.network.openshift.io/ingress: ""
podSelector: {}
policyTypes:
- Ingress
EOF- 文档
- Red Hat OpenShift Service on AWS
- 网络
- 网络安全
- 网络策略
- 使用网络策略配置多租户隔离 history bug_report picture_as_pdf
OpenShift 文档正在迁移,很快将只在 docs.redhat.com(所有 Red Hat 产品文档的首页)提供。立即体验 新的文档体验。
- 关于
- 新增功能
- ROSA 简介
- 架构
- 教程
- 教程概述
- ROSA 与 HCP 激活和帐户关联
- ROSA 与 HCP 私有产品接受和共享
- 验证 ROSA STS 部署的权限
- 使用自定义 DNS 解析器部署 ROSA
- 使用 AWS WAF 和 Amazon CloudFront 保护 ROSA 工作负载
- 使用 AWS WAF 和 AWS ALB 保护 ROSA 工作负载
- 在 ROSA 集群上部署用于数据保护的 OpenShift API
- ROSA 上的 AWS Load Balancer Operator
- 配置 Microsoft Entra ID(以前称为 Azure Active Directory)作为身份提供程序
- 在使用 STS 的 ROSA 上使用 AWS Secrets Manager CSI
- 在 ROSA 上使用 AWS Controllers for Kubernetes
- 在 ROSA 上部署 External DNS Operator
- 使用 cert-manager Operator 在 ROSA 上动态颁发证书
- 为外部流量分配一致的出口 IP
- 使用自定义域名和 TLS 证书更新组件路由
- ROSA 入门
- 部署应用程序
- 入门
- 准备您的环境
- 安装 ROSA 与 HCP 集群
- 安装 ROSA Classic 集群
- 支持
- Web 控制台
- CLI 工具
- Red Hat OpenShift 集群管理器
- 集群管理
- 安全和合规性
- 身份验证和授权
- 升级
- CI/CD
- 镜像
- 附加服务
- 存储
- 注册表
- 操作符
- 网络
- 构建应用程序
- 备份和恢复
- 节点
- 可观测性
- 服务网格
- 无服务器
- 虚拟化
×
使用网络策略配置多租户隔离
作为集群管理员,您可以配置网络策略以提供多租户网络隔离。
|
如本节所述配置网络策略可提供类似于早期版本的Red Hat OpenShift Service on AWS中OpenShift SDN多租户模式的网络隔离。 |
使用网络策略配置多租户隔离
您可以配置您的项目,使其与其他项目命名空间中的Pod和服务隔离。
先决条件
-
您的集群使用支持
NetworkPolicy对象的网络插件,例如OVN-Kubernetes网络插件,并设置mode: NetworkPolicy。 -
您已安装OpenShift CLI (
oc)。 -
您已使用具有
admin权限的用户登录到集群。
步骤
-
创建以下
NetworkPolicy对象-
名为
allow-from-openshift-ingress的策略。policy-group.network.openshift.io/ingress: ""是OVN-Kubernetes的首选命名空间选择器标签。 -
名为
allow-from-openshift-monitoring的策略$ cat << EOF| oc create -f - apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: allow-from-openshift-monitoring spec: ingress: - from: - namespaceSelector: matchLabels: network.openshift.io/policy-group: monitoring podSelector: {} policyTypes: - Ingress EOF -
名为
allow-same-namespace的策略$ cat << EOF| oc create -f - kind: NetworkPolicy apiVersion: networking.k8s.io/v1 metadata: name: allow-same-namespace spec: podSelector: ingress: - from: - podSelector: {} EOF -
名为
allow-from-kube-apiserver-operator的策略$ cat << EOF| oc create -f - apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: allow-from-kube-apiserver-operator spec: ingress: - from: - namespaceSelector: matchLabels: kubernetes.io/metadata.name: openshift-kube-apiserver-operator podSelector: matchLabels: app: kube-apiserver-operator policyTypes: - Ingress EOF
-
-
可选:要确认网络策略是否存在于您当前的项目中,请输入以下命令
$ oc describe networkpolicy示例输出Name: allow-from-openshift-ingress Namespace: example1 Created on: 2020-06-09 00:28:17 -0400 EDT Labels: <none> Annotations: <none> Spec: PodSelector: <none> (Allowing the specific traffic to all pods in this namespace) Allowing ingress traffic: To Port: <any> (traffic allowed to all ports) From: NamespaceSelector: network.openshift.io/policy-group: ingress Not affecting egress traffic Policy Types: Ingress Name: allow-from-openshift-monitoring Namespace: example1 Created on: 2020-06-09 00:29:57 -0400 EDT Labels: <none> Annotations: <none> Spec: PodSelector: <none> (Allowing the specific traffic to all pods in this namespace) Allowing ingress traffic: To Port: <any> (traffic allowed to all ports) From: NamespaceSelector: network.openshift.io/policy-group: monitoring Not affecting egress traffic Policy Types: Ingress