服务限制的Kubernetes网络策略

Question

我在每个名称空间上运行了许多名称空间和多个服务。

我们在我们的库伯内特斯克丘斯特中使用了卡里科插件。我正在寻找一种限制访问b/w服务/入口的方法。

例如，服务A、服务B和服务C正在名称空间A中运行。

我希望服务B访问服务A，而不是服务C。这能用Kubernetes的网络策略来实现吗？有例子吗？

另外，我不希望来自Namespace的服务访问Namespace中的任何服务。但是，我需要来自Namespace的一些服务访问名称空间A中的一些服务。

Answer 1

是的这是完全可能的。

Kubernetes网络策略支持入口/出口规则。还有三种类型的流量选择器：

• 基于ipBlock
• 基于命名空间选择器
• 基于吊舱选择器

您可以在豆荚上创建标签，并使用这些标签选择器来识别应用策略的吊舱。

下面是用于网络策略的链接 api文档。

这个github存储库有很多例子。