集群网络策略
集群网络策略负责管理 项目级别 的访问控制规则。开启此功能后,不同项目间默认相互隔离,不同项目下的计算组件无法通过网络互相访问,可通过添加 单项目访问 或 IP 段访问 规则,实现通信。
集群网络策略配置后,会将配置同步到集群下的命名空间,可在容器平台的 网络策略 功能模块查看集群网络策略。
注意事项
-
集群网络策略是否生效,取决于集群所使用的网络插件是否支持网络策略。
- Kube-OVN、Calico 支持网络策略。
- Flannel 不支持网络策略。
- 接入集群或自定义网络插件时,您可以自行查阅相关文档,确认支持情况。
-
Kube-OVN 网络模式下本功能成熟度为 Alpha。
操作步骤
-
在左侧导航栏中,单击 网络管理 > 集群网络策略。
-
单击 立即配置。
-
参考以下说明完成相关配置。
配置项 说明 项目间全隔离 是否开启项目间全隔离开关,默认开启,单击后可关闭。开启后,当前集群上所有项目之间实现网络隔离,也不允许其他资源访问集群内任意项目(例如:外部 IP、负载均衡)。不影响项目对集群外资源的访问。 单项目访问 仅当 项目间全隔离 开关开启时该参数有效。
配置允许单向访问的 源项目 和 目标项目。
单击 添加 按钮,可添加一条配置记录,支持添加多条记录。
单击 源项目 下拉选择框,选择要访问目标项目的一个项目或全部项目;单击 目标项目 下拉选择框选择一个被访问的目标项目。IP 段访问 仅当 项目间全隔离 开关开启时该参数有效。
配置允许单向访问的特定的 IP/网段 和 目标项目。
单击 添加 按钮,可添加一条配置记录,支持添加多条记录。
在 源 IP 段 输入框中输入要访问目标项目的 IP 或 CIDR 网段;单击 目标项目 下拉选择框选择一个被访问的目标项目。 -
单击 配置。