在 Calico CNI 中,可以执行以下操作来限制通过端口 10250 访问 kubelet API。
如果不允许使用/安装 Calico CNI,如何达到相同的结果?
apiVersion: crd.projectcalico.org/v1
kind: GlobalNetworkPolicy
metadata:
name: deny-kubelet-port
spec:
types:
- Egress
egress:
- action: Deny
protocol: TCP
destination:
nets:
- 0.0.0.0/0
ports:
- 10250
source: {}
我在文档解决方案中发现禁用所有出口,但我只需要禁用特定端口。
医生说: https://kubernetes.io/docs/concepts/services-networking/network-policies/
<块引用>显式拒绝策略的能力(目前 NetworkPolicies 的模型默认为拒绝,只能添加允许规则)。
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: default-deny-egress
spec:
podSelector: {}
policyTypes:
- Egress