网络策略是否适用于守护进程的 pod?我对所有 pod 的所有入口和出口都有一个默认的拒绝网络策略。但是,它似乎不适用于属于守护程序集的 pod。
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: default-deny
spec:
podSelector: {}
policyTypes:
- Ingress
- Egress
答案 0 :(得分:1)
netpol 适用于 daemonset 下生成的 Pod。对于 netpol,它们只是 pod,就像由部署或 rs 部署的那个一样。
如果您对所提供的 netpol 进行了描述,则表明它适用于 namespace=default。
Name: default-deny
Namespace: default
Created on: 2021-07-21 17:59:56 -0500 CDT
Labels: <none>
Annotations: <none>
Spec:
PodSelector: <none> (Allowing the specific traffic to all pods in this namespace)
Allowing ingress traffic:
<none> (Selected pods are isolated for ingress connectivity)
Allowing egress traffic:
<none> (Selected pods are isolated for egress connectivity)
Policy Types: Ingress, Egress
和 netpol 是命名空间资源:
NAME SHORTNAMES APIVERSION NAMESPACED KIND
networkpolicies netpol networking.k8s.io/v1 true NetworkPolicy
这意味着,您的 daemonset 是在某个不同的命名空间下创建的。