4. NetworkPolicy-拒绝所有入口/出口流量
问题:
一个默认拒绝(default-deny)的NetworkPolicy 可避免在未定义任何其他 NetworkPolicy 的namespace 中意外公开 Pod。
Task
为所有类型为 Ingress 的流量在 namespace production 中创建 个名为 defaultdeny 的新默认拒绝 Networkpolicy.
此新的 NetworkPolicy 必须拒绝 namespace production 中的所有 Ingress 流量。
将新创建的默认拒绝 NetworkPolicy 应用于在namespace production 中运行的所有 Pod。
:::info
你可以在/home/candidate/KSCS00101/network-policy.yaml找到一个模板清单文件。
:::
正确答案:
题干解析:
根据题目要求要让拒绝所有进出口流量,所以你此时引用的networkpolicy策略时需要注意,你需要引用拒绝所有的。
再根据题干要求得知,必须拒绝 namespace production 中的所有 Ingress 流量。那么再根据题干的要求,你需要拒绝所有ingress的流量
由这两个条件得知,你需要创建一个拒绝ingress的yaml文件,并且只能对production这个名称空间的pod访问。
考题是 Egress,直接把 Ingress 变成 Egress
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: defaultdeny
namespace: production
spec:
podSelector: {} #
policyTypes: #
- Ingress #