設定檔適用性:等級 2
使用網路政策來隔離叢集網路中的流量。
在同一個 Kubernetes 叢集上運行不同的應用程式會產生一個風險,即一個被攻擊的應用程式可能會攻擊鄰近的應用程式。網路分段對於確保容器僅能與其應該通信的對象進行通信非常重要。網路策略是關於如何允許
pod 選擇彼此以及其他網路端點進行通信的規範。
一旦在命名空間中有任何網路策略選擇了特定的 Pod,該 Pod 將拒絕任何不被任何網路策略允許的連接。命名空間中未被任何網路策略選擇的其他 Pod 將繼續接受所有流量。
 |
注意預設值:預設情況下,不會建立網路政策。
|
影響
一旦在命名空間中有任何網路策略選擇了特定的 Pod,該 Pod 將拒絕任何不被任何網路策略允許的連接。命名空間中未被任何網路策略選擇的其他 Pod 將繼續接受所有流量。
稽核
執行以下命令並檢視在叢集中建立的
NetworkPolicy物件。kubectl get networkpolicy --all-namespaces
確保叢集中定義的每個命名空間至少有一個網路策略。
矯正性處理
按照文件說明,根據需要創建
NetworkPolicy物件。