Kubernetes
Kubernetes 中基於域名和萬用字元的 Calico 網路策略
我有一個使用 kubernetes 編排器執行的應用程序。我想實現基於域名或萬用字元的 calico 網路策略,以便可以使用域名(
FQDN
/DNS
)來允許從 pod 或一組 pod 訪問(通過標籤選擇器)。我遇到了calico doc,它說了同樣的話,但不確定這是免費的還是付費的?有人可以證實這一點嗎?我也可以在哪裡得到這個例子?
DNS 策略是一項付費功能,因為它是 Calico Enterprise 和 Calico Cloud 的一部分。你可以在這裡查看。
至於範例,通常很難找到付費產品的工作範例,但是我設法找到了它的外觀的簡單範例:
apiVersion: projectcalico.org/v3 kind: GlobalNetworkPolicy metadata: name: security.allow-external-dns-egress spec: tier: security selector: 'projectcalico.org/namespace == "dev" && app == "centos"' order: 90 types: - Egress egress: - action: Allow protocol: UDP source: {} destination: ports: - '53' # openshift dns port - '5353' - action: Allow source: selector: app == 'centos' destination: domains: - '*.google.com' - 'google.com' # this rule only necessary if there is no policy that would pass all unmatched traffic to the following tier # - action: Pass # source: {} # destination: {}
想法是不允許任何域的任何出口流量,但 google.com
它在範例中顯示了它應該如何工作。