Profilanwendbarkeit: Stufe 1
Verwenden Sie Netzwerk-Richtlinien, um den Datenverkehr in Ihrem Cluster-Netzwerk
zu isolieren.
Das Ausführen verschiedener Anwendungen auf demselben Kubernetes-Cluster birgt das
Risiko, dass eine kompromittierte Anwendung eine benachbarte Anwendung angreift. Die
Netzwerksegmentierung ist wichtig, um sicherzustellen, dass Container nur mit denjenigen
kommunizieren können, mit denen sie sollen. Eine Netzwerkrichtlinie ist eine Spezifikation,
wie die Auswahl von Pods miteinander und mit anderen Netzwerkendpunkten kommunizieren
darf.
Sobald es eine Netzwerkrichtlinie in einem Namespace gibt, die ein bestimmtes Pod
auswählt, wird dieses Pod alle Verbindungen ablehnen, die nicht durch eine Netzwerkrichtlinie
erlaubt sind. Andere Pods im Namespace, die von keiner Netzwerkrichtlinie ausgewählt
werden, werden weiterhin den gesamten Datenverkehr akzeptieren.
 |
HinweisStandardmäßig werden keine Netzwerkrichtlinien erstellt.
|
Auswirkung
Sobald es eine Netzwerkrichtlinie in einem Namespace gibt, die ein bestimmtes Pod
auswählt, wird dieses Pod alle Verbindungen ablehnen, die nicht durch eine Netzwerkrichtlinie
erlaubt sind. Andere Pods im Namespace, die von keiner Netzwerkrichtlinie ausgewählt
werden, werden weiterhin den gesamten Datenverkehr akzeptieren.
Prüfung
Führen Sie den folgenden Befehl aus und überprüfen Sie die im Cluster erstellten
NetworkPolicy-Objekte.kubectl get networkpolicy --all-namespaces
Stellen Sie sicher, dass jeder im Cluster definierte Namespace mindestens eine Netzwerkrichtlinie
hat.
Wiederherstellung
Befolgen Sie die Dokumentation und erstellen Sie
NetworkPolicy-Objekte, wie Sie sie benötigen.