目的・但し書き
Podにシステム系の通信を許可したくない
あっているかは不確かなので間違っていたらコメントお願いします。
(「多分あってる気がする」程度です)
方法
お馴染みのNetworkPolicyで制限
今回はOutBoundを制限してみた
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: deny-egress2system-np
spec:
egress:
- to:
- ipBlock:
cidr: 0.0.0.0/0
except:
- 172.16.0.0/12 # host network v4
- ipBlock:
cidr: ::/0
except:
- fc00::/7 # host network v6
- to:
- namespaceSelector:
matchLabels:
kubernetes.io/metadata.name: kube-system
podSelector:
matchLabels:
k8s-app: kube-dns
podSelector: {}
policyTypes:
- Egress
*多分あっていますがテキトーに検証しただけなので保証できません。