Calico Kubernetes网络策略拒绝所有流量，并没有按预期工作

Question

我正在尝试实施一些基于Calico的Kubernetes网络策略。我已经在我的集群中设置了Calico，所有基于Calico的荚都运行良好。

在我的星系团里，有两个吊舱。

1. Nginx荚

2.阿帕奇舱

我的要求是，我需要添加一个NetworkPolicy来控制Nginx中的网络流量。我要封锁从Nginx吊舱到Apache吊舱的出口。不过，我想从Nginx舱调到8.8.8.8。

因此，简而言之，我只想阻止从Nginx吊舱到Apache吊舱的流量。

我的YAML文件如下：

calico-deny-range-policy-yaml

apiVersion: projectcalico.org/v3
kind: NetworkPolicy
metadata:
  name: deny-egress-external
  namespace: nginx
spec:
  selector:
    app == 'nginx'
  types:
    - Egress
  egress:    
    - action: Deny
      protocol: TCP
      source:
        nets:
        - 192.168.163.0/25
      destination:
        nets:
        - 192.168.163.204/32
        notNets:
        - 8.8.8.8/32

但问题是，Nginx吊舱正在获得“否认所有”的效果。我无法从Nginx吊舱中击打任何IP。整个交通都被堵住了。

如何根据我的需要定制出入口贸易？如有上述要求的任何工作实例，将不胜感激。

Answer 1

您需要在目的地的选择器标签中提及目的地吊舱，如下所示：

apiVersion: projectcalico.org/v3
kind: NetworkPolicy
metadata:
  name: deny-egress-external
  namespace: nginx
spec:
  selector:
    app == 'nginx'
  types:
    - Egress
  egress:    
    - action: Deny
      protocol: TCP
      source:
        nets:
        - 192.168.163.0/25
      destination:
        Selector:
          app == 'apache'
        nets:
        - 192.168.163.204/32
        notNets:
        - 8.8.8.8/32

有关calico网络策略和很少的例子，请参阅此文档。