我在IBM云上使用Kubernetes。
我想创建一个网络策略,拒绝与pod的所有传入连接(这会暴露端口3000上的应用程序(,但只允许来自特定IP(MY_IP(的传入连接。
我写了这个:
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: <MY_POLICY_NAME>
namespace: <MY_NAMESPACE>
spec:
podSelector:
matchLabels:
app: <MY_APP>
env: <MY_ENV>
policyTypes:
- Ingress
ingress:
- from:
- ipBlock:
cidr: <MY_IP>/24
except:
- <MY_IP>/32
ports:
- protocol: TCP
port: 3000
不幸的是,这不起作用,因为它阻塞了所有连接。
我该怎么解决这个问题?
在您目前的策略中,您允许从该CIDR进入,除了来自<MY_IP>的所有流量。因此,它阻止了来自您IP的所有流量。
PS:默认情况下,IBM Cloud Kubernetes Service中的Ingress将禁用源IP保护。请确保已为Ingress服务启用它:https://console.bluemix.net/docs/containers/cs_ingress.html#preserve_source_ip