Kubernetes网络策略多匹配标签

Question

我们对所有豆荚都有默认的拒绝所有出口策略，并且我们有如下所示的出口-internet策略。

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-external-egress-internet
spec:
  podSelector:
    matchLabels:
      egress: internet
  policyTypes:
  - Egress
  egress:
  - to:
    - ipBlock:
        cidr: 0.0.0.0/0

现在，如果我试图在spec/podselector/matchlabels下添加多个标签，一切都会中断。是否有一种方法可以使此网络策略在带有标签egress: internet或foo:bar的pods上实现。

应该允许以foo:bar作为标签的吊舱，但它不是那样工作的。

Answer 1

这很棘手，因为matchLabels不使用多个键&值对，matchExpressions将是ANDed。有两种可能的方法(解决办法)：

1. 创建另一个网络策略(以及存在策略)，其中matchLabels包含foo:bar。

或

在podSelector中，

1. 向工作负载添加一个新的标签(公共)并使用它