Profilanwendbarkeit: Stufe 2
Verwenden Sie Netzwerkrichtlinien, um den Datenverkehr im Cluster-Netzwerk zu isolieren.
Das Ausführen verschiedener Anwendungen auf demselben Kubernetes-Cluster birgt das
Risiko, dass eine kompromittierte Anwendung eine benachbarte Anwendung angreift. Die
Netzwerksegmentierung ist wichtig, um sicherzustellen, dass Container nur mit denjenigen
kommunizieren können, mit denen sie sollen. Eine Netzwerkrichtlinie ist eine Spezifikation,
wie die Auswahl von Pods miteinander und mit anderen Netzwerkendpunkten kommunizieren
darf.
Netzwerkrichtlinien sind auf den Namensraum beschränkt. Wenn eine Netzwerkrichtlinie
in einem bestimmten Namensraum eingeführt wird, wird jeglicher Verkehr, der nicht
durch die Richtlinie erlaubt ist, verweigert. Wenn jedoch keine Netzwerkrichtlinien
in einem Namensraum vorhanden sind, wird der gesamte Verkehr in die und aus den Pods
in diesem Namensraum zugelassen.
 |
HinweisStandardmäßig werden keine Netzwerkrichtlinien erstellt.
|
Auswirkung
Sobald Netzwerkrichtlinien in einem bestimmten Namespace verwendet werden, wird der
Datenverkehr, der nicht ausdrücklich durch eine Netzwerkrichtlinie erlaubt ist, verweigert.
Daher ist es wichtig sicherzustellen, dass beim Einführen von Netzwerkrichtlinien
legitimer Datenverkehr nicht gesperrt wird.
Prüfung
Führen Sie den folgenden Befehl aus und überprüfen Sie die im Cluster erstellten
NetworkPolicy-Objekte.kubectl get networkpolicy --all-namespaces ensure that each namespace defined in the cluster has at least one Network Policy.
Wiederherstellung
Befolgen Sie die Dokumentation und erstellen Sie bei Bedarf
NetworkPolicy-Objekte.Siehe die Kubernetes-Dokumentation für weitere Informationen.