在没有通信的Kubernetes中，我怎么能有2个独立的命名空间

Question

在我的K8S集群中，我有一个“私有”部分和一个“公共”部分，其中我拥有所有的微服务。

公共部分是区块链，我希望能够给客户提供一个区块链节点，这样他们就可以审计私有区块链。

现在的情况是，如果我在K8S中注册一个节点，它将能够与所有名称空间通信。

我的微服务应该能够在区块链中进行读写，但区块链节点不应该能够与其他命名空间进行通信。

Answer 1

您可以使用network policy来限制不同命名空间的pods之间的通信。因此，用于区块链的命名空间可以有一个标签，您可以使用网络策略仅允许来自具有该标签的命名空间中的pod的通信。

从docs here

namespaceSelector：选择应该允许所有Pod作为入口源或出口目的地的特定名称空间

  ...
  ingress:
  - from:
    - namespaceSelector:
        matchLabels:
          app: blockchain
  ...