创建一个类型为NetworkPolicy的Kubernetes对象的yaml文件。
第九行的podSelector指定这个NetworkPolicy施加在哪些pod上,通过label来做pod的过滤。
从第16行开始的ingress定义,定义了只有具备标签component=ads,module=app的pod才能够连接component=ads, module=db的pod。
首先创建一个临时的pod,使用正确的label(component=ads,module=app)去访问db pod:
kubectl run --restart=Never -it --rm --image=postgres:9.6 --labels="component=ads,module=app" --env="PGCONNECT_TIMEOUT=5" helper --command -- /bin/bash
执行完毕后看到提示[email protected]:/#, 说明我通过上述命令创建的临时pod成功的连接到了postgreSQL的pod上。
输入正确的用户名和密码,能成功连接到postgreSQL pod提供的数据库服务上。
现在我们重新创建一个临时pod,不指定label,因此不满足NetworkPolicy里定义的限制条件,因此会看到我们期望的结果:postgreSQL连接失败。
希望通过例子大家能够理解Kubernetes里NetworkPolicy的工作原理。
要获取更多Jerry的原创文章,请关注公众号"汪子熙":
原文地址:https://www.cnblogs.com/sap-jerry/p/9998365.html
时间: 2024-10-06 00:12:34