Context
一个默认拒绝(default-deny)的NetworkPolicy可避免在未定义任何其他NetworkPolicy的namespace中意外公开Pod。
Task
为所有类型为Ingress+Egress的流量在namespace testing中创建一个名为denypolicy的新默认拒绝NetworkPolicy。
此新的NetworkPolicy必须拒绝namespace testing 中的所有的Ingress + Egress 流量。
将新创建的默认拒绝NetworkPolicy应用于在namespace testing中运行的所有Pod。
你可以在/cks/net/p1.yaml找到一个模板清单文件。
参考资料
https://kubernetes.io/zh-cn/docs/concepts/services-networking/network-policies/
答题
考试时执行,切换集群。模拟环境中不需要执行。
kubectl config use-context KSCS00101
创建名为denypolicy 的 NetworkPolicy,拒绝testing 命名空间内所有 Ingress + Egress 流量
(这里可能是ingress 或 egress 或 ingress+egress,根据题目要求写。)
vi /cks/net/p1.yaml
修改为
......
metadata:
name: denypolicy # 修改 name
namespace: testing # 注意添加namespace
spec:
podSelector: {}
policyTypes:
- Ingress # 注意看题,是Ingress + Egress(入口+出口),还是只是Ingress或只是Egress。
- Egress # 在1.25的考试中,只要求拒绝所有Egress流量,那就只写这个Egress即可,就不要写Ingress了。
创建:
kubectl apply -f /cks/net/p1.yaml
检查:
kubectl describe networkpolicy denypolicy -n testing
标签:Ingress,06,NetworkPolicy,denypolicy,testing,namespace,考试题,Egress,CKS From: https://www.cnblogs.com/dagongzhe/p/17485742.html