基于域名和通配符字符的Kubernetes中的Calico网络策略

Question

我有一个与kubernetes orchestrator一起运行的程序。我希望实现基于域名或通配符的calico网络策略，以便可以使用域名(FQDN/DNS)从一个荚或一组豆荚(通过标签选择器)进行访问。

我偶然发现卡里科医生说了同样的话，但不确定这是免费的还是付费的？有人能确认一下吗？还有我能从哪里得到这个例子？

Answer 1

DNS策略是付费功能，因为它是Calico Enterprise和Calico Cloud的一部分。您可以检查这个这里。

开源、云和企业功能的全面比较

至于示例，通常很难找到付费产品的工作示例，但我设法找到了简单的示例，说明了它的样子：

apiVersion: projectcalico.org/v3
kind: GlobalNetworkPolicy
metadata:
  name: security.allow-external-dns-egress
spec:
  tier: security
  selector: 'projectcalico.org/namespace == "dev" && app == "centos"'
  order: 90
  types:
    - Egress
  egress:
  - action: Allow
    protocol: UDP
    source: {}
    destination:
      ports:
      - '53'
      # openshift dns port
      - '5353'
  - action: Allow
    source:
      selector: app == 'centos'
    destination:
      domains:
      - '*.google.com'
      - 'google.com'
  # this rule only necessary if there is no policy that would pass all unmatched traffic to the following tier
  # - action: Pass
  #   source: {}
  #   destination: {}

链接到上面的Calico github示例

想法是不允许任何出口流量到任何域，但google.com

它展示了它应该如何在示例中工作。