[CKA]考试之网络策略NetworkPolicy

由于最新的CKA考试改版，不允许存储书签，本博客致力怎么一步步从官网把答案找到，如何修改把题做对，下面开始我们的 CKA之旅

题目为：

Task

在现有的namespace fubar中创建一个名为allow-port-from-namespace的新NetworkPolicy。

确保新的NetworkPolicy允许namespace my-app中的Pods连接到namespace fubar 中的Pods的80端口。

进一步确保新的NetworkPolicy：

不允许对没有在监听端口80的Pods的访问

不允许非来自 namespace my-app中的Pods的访问

注意，如果题目要求先切换K8S环境，需执行K8S切换环境

分析做题步骤
1、打开官网(真实考试需要在官网的搜索界面搜索关键词network即可 )
网络策略 | Kubernetes
 2、创建快照并保存，找到官网如下内容，并把官网内容按如下箭头复制

 3、考试的时候需要切换集群，切换集群后在命令行中执行查询命名空间中的所有标签命令，执行结果如下：

kubectl get ns --show-labels

找出访问者namespace的标签独特标签label，为name=my-app

my-app            Active   537d   kubernetes.io/metadata.name=my-app,name=my-app

4、 新创建一个yaml文件，命名为network.yaml(名字题目没有要求，自定义就行)

vim network.yaml

5、把官网的内容复制到yaml文件中如下图

 6、根据题意修改yaml文件内容如下：

 变化的部分如下，修改完后保存退出

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: test-network-policy    =>改为题目中的allow-port-from-namespace
  namespace: default     =>改为题目中的fubar
spec:
  podSelector:
    matchLabels:     =>改为matchLabels:  {}
      role: db        =>去掉
  policyTypes:
    - Ingress
    - Egress    =>去掉
  ingress:
    - from:
        - ipBlock:      =>去掉
            cidr: 172.17.0.0/16   =>去掉
            except:     =>去掉
              - 172.17.1.0/24   =>去掉
        - namespaceSelector:
            matchLabels:
              project: myproject    =>修改为上面步骤中匹配到的标签name: my-app
        - podSelector:   =>去掉
            matchLabels:    =>去掉
              role: frontend    =>去掉
      ports:
        - protocol: TCP
          port: 6379     =>修改为题中的80
  egress:    =>去掉
    - to:    =>去掉
        - ipBlock:   =>去掉
            cidr: 10.0.0.0/24   =>去掉
      ports:    =>去掉
        - protocol: TCP   => 去掉
          port: 5978    =>去掉

 6、执行yaml文件，结果如下 

kubectl apply -f network.yaml

7、验证，输入如下命令，得到如下结果

kubectl get networkpolicy -n fubar

 

 输入如下命令，得到如下结果即成功

kubectl describe networkpolicy allow-port-from-namespace -n fubar