Profilanwendbarkeit: Stufe 2
Verwenden Sie Netzwerk-Richtlinien, um den Datenverkehr im Cluster-Netzwerk zu isolieren.
Das Ausführen verschiedener Anwendungen auf demselben Kubernetes-Cluster birgt das
Risiko, dass eine kompromittierte Anwendung eine benachbarte Anwendung angreift. Die
Netzwerksegmentierung ist wichtig, um sicherzustellen, dass Container nur mit denjenigen
kommunizieren können, mit denen sie sollen. Eine Netzwerkrichtlinie ist eine Spezifikation,
wie Auswahlen von Pods miteinander und mit anderen Netzwerkknoten kommunizieren dürfen.
Netzwerkrichtlinien sind auf den Namensraum beschränkt. Wenn eine Netzwerkrichtlinie
in einem bestimmten Namensraum eingeführt wird, wird jeglicher Verkehr, der nicht
durch die Richtlinie erlaubt ist, verweigert. Wenn jedoch keine Netzwerkrichtlinien
in einem Namensraum vorhanden sind, wird der gesamte Verkehr in die und aus den Pods
in diesem Namensraum zugelassen.
 |
HinweisStandardmäßig werden keine Netzwerkrichtlinien erstellt.
|
Auswirkung
Sobald Netzwerkrichtlinien innerhalb eines bestimmten Namensraums verwendet werden,
wird der Datenverkehr, der nicht ausdrücklich durch eine Netzwerkrichtlinie erlaubt
ist, verweigert. Daher ist es wichtig sicherzustellen, dass beim Einführen von Netzwerkrichtlinien
legitimer Datenverkehr nicht gesperrt wird.
Prüfung
Führen Sie den folgenden Befehl aus und überprüfen Sie die im Cluster erstellten
NetworkPolicy-Objekte.kubectl get networkpolicy --all-namespaces ensure that each namespace defined in the cluster has at least one Network Policy.
Wiederherstellung
Befolgen Sie die Dokumentation und erstellen Sie
NetworkPolicy-Objekte nach Bedarf.Siehe die Kubernetes-Dokumentation für weitere Informationen.