Kubernetes

Kubernetes 中基於域名和萬用字元的 Calico 網路策略

  • June 28, 2021

我有一個使用 kubernetes 編排器執行的應用程序。我想實現基於域名或萬用字元的 calico 網路策略,以便可以使用域名(FQDN/ DNS)來允許從 pod 或一組 pod 訪問(通過標籤選擇器)。

我遇到了calico doc,它說了同樣的話,但不確定這是免費的還是付費的?有人可以證實這一點嗎?我也可以在哪裡得到這個例子?

DNS 策略是一項付費功能,因為它是 Calico Enterprise 和 Calico Cloud 的一部分。你可以在這裡查看

開源calico、雲、企業特性全對比

至於範例,通常很難找到付費產品的工作範例,但是我設法找到了它的外觀的簡單範例:

apiVersion: projectcalico.org/v3
kind: GlobalNetworkPolicy
metadata:
 name: security.allow-external-dns-egress
spec:
 tier: security
 selector: 'projectcalico.org/namespace == "dev" && app == "centos"'
 order: 90
 types:
   - Egress
 egress:
 - action: Allow
   protocol: UDP
   source: {}
   destination:
     ports:
     - '53'
     # openshift dns port
     - '5353'
 - action: Allow
   source:
     selector: app == 'centos'
   destination:
     domains:
     - '*.google.com'
     - 'google.com'
 # this rule only necessary if there is no policy that would pass all unmatched traffic to the following tier
 # - action: Pass
 #   source: {}
 #   destination: {}

在 Calico github 中連結到上面的這個例子

想法是不允許任何域的任何出口流量,但 google.com

它在範例中顯示了它應該如何工作。

引用自:https://serverfault.com/questions/1067807