Profilanwendbarkeit: Stufe 2
Verwenden Sie Netzwerkrichtlinien, um den Datenverkehr in Ihrem Clusternetzwerk zu
isolieren.
Das Ausführen verschiedener Anwendungen auf demselben Kubernetes-Cluster birgt das
Risiko, dass eine kompromittierte Anwendung eine benachbarte Anwendung angreift. Netzwerksegmentierung
ist wichtig, um sicherzustellen, dass Container nur mit denjenigen kommunizieren können,
mit denen sie sollen. Eine Netzwerkrichtlinie ist eine Spezifikation dafür, wie Auswahlen
von Pods miteinander und mit anderen Netzwerkendpunkten kommunizieren dürfen.
Sobald eine Netzwerkrichtlinie in einem Namespace einen bestimmten Pod auswählt, wird
dieser Pod alle Verbindungen ablehnen, die nicht durch eine Netzwerkrichtlinie erlaubt
sind. Andere Pods im Namespace, die nicht von einer Netzwerkrichtlinie ausgewählt
werden, werden weiterhin den gesamten Datenverkehr akzeptieren.
 |
HinweisStandardmäßig werden keine Netzwerkrichtlinien erstellt.
|
Auswirkung
Sobald eine Netzwerkrichtlinie in einem Namespace einen bestimmten Pod auswählt, wird
dieser Pod alle Verbindungen ablehnen, die nicht durch eine Netzwerkrichtlinie erlaubt
sind. Andere Pods im Namespace, die nicht von einer Netzwerkrichtlinie ausgewählt
werden, werden weiterhin den gesamten Datenverkehr akzeptieren.
Prüfung
Führen Sie den folgenden Befehl aus und überprüfen Sie die im Cluster erstellten
NetworkPolicy-Objekte.kubectl get networkpolicy --all-namespaces
Stellen Sie sicher, dass jeder im Cluster definierte Namespace mindestens eine Netzwerkrichtlinie
hat.
Wiederherstellung
Befolgen Sie die Dokumentation und erstellen Sie
NetworkPolicy-Objekte, wie Sie sie benötigen.