主页 / server / 问题 / 1067807
Accepted
solveit
Asked: 2021-06-26 01:28:24 +0800 CST

Kubernetes 中基于域名和通配符的 Calico 网络策略

  • 772

我有一个使用 kubernetes 编排器运行的应用程序。我想实现基于域名或通配符的 calico 网络策略,以便可以使用域名 ( FQDN/ DNS) 来允许从一个 pod 或一组 pod 访问(通过标签选择器)。

我遇到了calico doc,它说了同样的话,但不确定这是免费的还是付费的?有人可以证实这一点吗?我也可以在哪里得到这个例子?

kubernetes calico

1 个回答

  1. Best Answer

    DNS 策略是一项付费功能,因为它是 Calico Enterprise 和 Calico Cloud 的一部分。你可以在这里查看

    开源calico、云、企业特性全对比

    至于示例,通常很难找到付费产品的工作示例,但是我设法找到了它的外观的简单示例:

    apiVersion: projectcalico.org/v3
kind: GlobalNetworkPolicy
metadata:
  name: security.allow-external-dns-egress
spec:
  tier: security
  selector: 'projectcalico.org/namespace == "dev" && app == "centos"'
  order: 90
  types:
    - Egress
  egress:
  - action: Allow
    protocol: UDP
    source: {}
    destination:
      ports:
      - '53'
      # openshift dns port
      - '5353'
  - action: Allow
    source:
      selector: app == 'centos'
    destination:
      domains:
      - '*.google.com'
      - 'google.com'
  # this rule only necessary if there is no policy that would pass all unmatched traffic to the following tier
  # - action: Pass
  #   source: {}
  #   destination: {}

    在 Calico github 中链接到上面的这个例子

    想法是不允许任何域的任何出口流量,但 google.com

    它在示例中显示了它应该如何工作。

    • 1

相关问题