检测
分析学
5.6.7 确保网络策略酌情启动和设置
资讯类
网络策略限制聚类内播客流量并分离工作量原理性:
默认时允许聚类内所有播客流网络策略创建缓冲级防火墙,可用以限制源间流量Pod流量受网络策略限制(通过使用标签选择)名空间中一旦有网络策略选择特殊播客,该播客将拒绝任何网络策略不允许的连接命名空间中其他非由网络策略选择的播客将继续接受所有流量
网络策略通过Kubernetes网络策略API管理并由网络插件强制实施,简单创建资源时没有兼容网络插件实施将无效果GKE支持网络策略执行
撞击 :
网络策略需要网络策略附加生成带网络政策的集群时自动加载该加载,但对现有集群则需在赋能网络策略前加载
启动/启动网络策略引起所有集群节点滚动更新,类似于执行集群升级运行时间长并阻塞集群上的其他操作(包括删除)直到运行完成
网络策略使用时,集群必须至少有2节点n1标准-1或更高推荐最小尺寸集群运行网络策略执行为3n1标准-1实例
赋能网络策略执行耗用节点上额外的资源具体地说,它约增加kube系统过程的内存足迹128MB,并需要大约300毫分CPU
求解
Google云控制台使用前往库贝涅斯引擎访问 https://console.cloud.google.com/kubernetes/list
选择网络策略失效集群
点击EDIT
设置Network策略为“enbabled
点击SAVE
集群更新后,重复步骤1-3
设置Network策略节点为nable
点击SAVE
使用命令行
增强网络策略现有集群的功能,首先增强网络策略附加功能
gloud容器更新
区[COMPUTENETNE
--update-addons NetworkPolicy=ENABLED
启动网络策略
gloud容器更新
区[COMPUTENETNE
--enable-network-policy
默认值 :
默认网络策略禁用
并见
项目细节
审核名称 :CIS谷歌Kubernetes引擎v1.4.0L
类别 :失序控制,系统通信保护
引用 :800-53AC-18,800-53SC-23,CSCV79.2,CSCV79.4
插件 :GCP
控件标识符 :16b6d2ac891637bf2a9ac505d34628c8b0cc1a35aa4e7a50ea095643796eff9e