配置檔適用性:級別 1
使用網路政策來隔離您叢集網路中的流量。
在同一 Kubernetes 集群上運行不同的應用程式會增加一個被攻擊的應用程式攻擊相鄰應用程式的風險。網路分段對於確保容器僅能與其應該通訊的對象進行通訊至關重要。網路政策是對選定的
Pod 之間以及與其他網路端點之間的通訊方式的規範。
一旦在某個命名空間中有任何網路政策選擇了特定的 pod,該 pod 將拒絕任何不被網路政策允許的連接。在該命名空間中未被任何網路政策選擇的其他 pod 將繼續接受所有流量。
 |
注意預設情況下,未創建網路政策。
|
影響
一旦在某個命名空間中有任何網路政策選擇了特定的 pod,該 pod 將拒絕任何不被網路政策允許的連接。在該命名空間中未被任何網路政策選擇的其他 pod 將繼續接受所有流量。
審計
執行以下命令並檢查在叢集中創建的
NetworkPolicy 物件。kubectl get networkpolicy --all-namespaces
確保叢集中的每個命名空間至少有一個網路政策。
補救
請遵循文檔並根據需要創建
NetworkPolicy 物件。