Я пытался реализовать сетевую политику в своем кластере (k8s «голый металл»), и, похоже, никакие политики не реализованы на модулях, работающих на узлах кластера, только на модулях, работающих непосредственно на главном сервере.
Что я пробовал:
- Единое пространство имен с главным + узлом и calico CNI с calicoctl с хранилищем данных k8s (я вижу контейнеры calico / calicoctl, работающие на обоих узлах)
- Оба типа networkPolicy (network.k8s.io/v1 и projectcalico.org/v3)
- Применение простой политики запрета любой входящей / исходящей политики и тестирование ping для 8.8.8.8 (pod на главном блоке блокируется, pod'ы на других узлах все еще могут ping)
Ценю вашу помощь