本节介绍如何启用项目网络隔离,以及添加和删除隔离白名单。

前提条件

  • 您需要加入一个项目并在项目中具有项目网络隔离管理权限。有关更多信息,请参阅项目成员项目角色

  • KubeSphere 企业版平台需要安装并启用 KubeSphere 网络扩展组件。

操作步骤

启用网络隔离

  1. 以具有项目网络隔离管理权限的用户登录 KubeSphere 企业版 Web 控制台并进入您的项目。

  2. 在左侧导航栏选择项目设置 > 网络隔离

  3. 网络隔离页面,点击启用

    说明

    启用网络隔离后,其他项目的容器组、其他节点主机环境以及集群外部的所有网段将无法访问当前项目中的容器组。默认对出站没有限制,即在未设置白名单条目的情况下,当前项目中的容器组可以与其他项目的容器组、其他节点主机环境以及集群外部的所有网段通信。添加白名单条目后,仅允许当前项目中的容器组与特定项目中的容器组、其他节点主机环境和集群外部网段通信。

添加白名单

  1. 启用网络隔离后,点击内部白名单外部白名单页签。

    参数描述

    内部白名单

    允许当前项目中的容器组与当前企业空间其他项目中的容器组通信。

    外部白名单

    允许当前项目中的容器组与企业空间外部的特定网段和端口通信。

  2. 内部白名单外部白名单页签,点击添加白名单条目

  3. 添加白名单条目对话框,设置白名单条目的参数,然后点击确定

    • 对于内部白名单条目,请设置以下参数:

      参数描述

      流量方向

      白名单条目放行的流量方向。

      • 出站:从当前项目到其他项目的方向。

      • 入站:从其他项目到当前项目的方向。

      类型

      白名单条目匹配其他项目容器组的方式。

      • 项目:当前项目中的容器组可以与指定项目中的所有容器组通信。

      • 服务:当前项目中的容器组可以与指定服务的后端容器组通信。

    • 对于外部白名单条目,请设置以下参数:

      参数描述

      名称

      白名单条目的名称。

      流量方向

      白名单条目放行的流量方向。

      • 出站:从当前项目到企业空间外的方向。

      • 入站:从企业空间外到当前项目的方向。

      网段

      企业空间外部的网络地址和子网掩码。支持无类别域间路由(CIDR)。

      • 在已添加的网段右侧点击copy-light可创建网段副本。

      • 在已添加的网段右侧点击trash-light可删除网段。

      • 点击添加新网段可设置多个网段。

      端口

      白名单条目放行的端口号。

      • 对于出站白名单条目,此处的端口为企业空间外部地址的端口。

      • 对于入站白名单条目,此处的端口为当前项目容器组的端口。

      • 在已添加的端口右侧点击copy-light可创建端口副本。

      • 在已添加的端口右侧点击trash-light可删除端口。

      • 点击添加新端口范围可设置多个端口范围,点击添加新端口可设置多个端口。

    白名单条目创建完成后将显示在内部白名单或外部白名单列表中。

  4. 外部白名单列表中,点击条目名称可查看条目详情,在条目右侧点击more > 编辑,编辑白名单条目详情。

删除白名单

警告

删除白名单条目可能会导致当前项目中的容器组网络连接中断,请谨慎执行此操作。

  1. 网络隔离页面,点击内部白名单外部白名单页签。

  2. 在需要删除的内部白名单条目右侧点击trash-light;在需要删除的外部白名单条目右侧点击more,然后在下拉列表中选择删除

  3. 删除白名单条目对话框,输入白名单条目的名称,然后点击确定