Сетевая политика GKE Kubernetes, разрешающая IP-адреса других узлов

У меня есть кластер GKE (1.16) с 2+ узлами и балансировщик нагрузки HTTPS GKE Ingress.
Я развертываю на нем несколько пространств имен.
Я хочу запретить весь трафик между пространствами имен, поэтому я используя найденный рецепт здесь.
Однако, согласно этому документация (моя externalTrafficPolicy использует значение по умолчанию Cluster):

Если для externalTrafficPolicy не задано значение «Локальный», сетевая политика также должна разрешать подключения с IP-адресов других узлов в кластере.

Как разрешить соединения с IP-адресов других узлов в кластере в моем определении NetworkPolicy?
Мое текущее определение:

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: foo
spec:
  podSelector:
    matchLabels:
  ingress:
  - from:
    - podSelector: {}
    - ipBlock:
        cidr: 35.191.0.0/16
    - ipBlock:
        cidr: 130.211.0.0/22

google-kubernetes-engine kubernetes-networkpolicy gke-networking
person Alain B.    schedule 01.10.2020    source источник
comment
Вы хотите запретить трафик между пространствами имен, но хотите, чтобы трафик не попадал в ваш кластер? Или вы хотите изолировать это как Private cluster?   -  person PjoterS    schedule 02.10.2020

Ответы (1)


arrow_upward
1
arrow_downward

Узлы GKE обмениваются данными через частное адресное пространство, поэтому вы можете разрешить 10.0.0.0/8 (или быть более конкретным).

person Peter    schedule 01.10.2020
comment
Спасибо. Если кто-то хочет быть более конкретным, конечная точка подсетей gcloud предоставляет значения для каждого региона. - person Alain B.; 05.10.2020