本节介绍如何配置和管理白名单。

在启用“企业空间网络隔离”或“项目网络隔离”的情况下,通过在选定项目中配置白名单,可允许当前项目中的容器组与其他特定的项目、服务、网段或端口相互访问。

配置白名单前,必须启用“企业空间网络隔离”或“项目网络隔离”。否则,无法配置。配置白名单后,如果“企业空间网络隔离”或“项目网络隔离”都被禁用,白名单也会被清理;如果两者之一启用,白名单仍有效。

前提条件

  • 您需要加入一个项目并在项目中具有项目网络隔离管理权限。有关更多信息,请参阅项目成员项目角色

  • 项目所属的集群需要安装 KubeSphere 网络扩展组件。

  • 配置白名单前,必须启用“企业空间网络隔离”或“项目网络隔离”。否则,无法配置。

添加白名单

  1. 以具有项目网络隔离管理权限的用户登录 KubeSphere 企业版 Web 控制台并进入您的企业空间。

  2. 在左侧导航栏选择服务网络 > 项目网络隔离

  3. 在页面左上角的下拉列表中选择一个项目。

  4. 基于项目/服务的白名单基于网段/端口的白名单页签下,点击添加

  5. 在弹出的对话框中,设置白名单条目的基本信息,然后点击下一步

    参数 描述

    名称

    白名单条目的名称。名称只能包含小写字母、数字和连字符(-),必须以小写字母或数字开头和结尾,最长 253 个字符。

    别名

    白名单条目的别名。不同白名单条目的别名可以相同。

    描述

    白名单条目的描述信息。描述可包含任意字符,最长 256 个字符。

  6. 在对话框的白名单设置页签,设置白名单条目的参数,然后点击创建

    • 对于基于项目/服务的白名单,请设置以下参数:

      参数 描述

      流量方向

      白名单条目放行的流量方向。

      • 出站:从当前项目到其他项目的方向。

      • 入站:其他项目到当前项目的方向。

      白名单类型

      白名单条目匹配其他项目容器组的方式。

      • 项目:当前项目中的容器组可以与指定项目中的所有容器组通信。

        您可以直接指定某一项目,或通过标签和表达式筛选项目,或指定某一企业空间。指定企业空间后,白名单将应用于所选企业空间下的所有项目。

      • 服务:当前项目中的容器组可以与指定服务的后端容器组通信。

    • 对于基于网段/端口的白名单,请设置以下参数:

      参数 描述

      流量方向

      白名单条目放行的流量方向。

      • 出站:从当前项目到其他项目的方向。

      • 入站:其他项目到当前项目的方向。

      网段

      项目外部的网络地址和子网掩码。支持无类别域间路由(CIDR)。

      • 在已添加的网段右侧点击copy-light可创建网段副本。

      • 在已添加的网段右侧点击trash-light可删除网段。

      • 点击添加新网段可设置多个网段。

      端口

      白名单条目放行的端口号。

      • 对于出站白名单条目,此处的端口为项目外部地址的端口。

      • 对于入站白名单条目,此处的端口为当前项目容器组的端口。

      • 在已添加的端口右侧点击copy-light可创建端口副本。

      • 在已添加的端口右侧点击trash-light可删除端口。

      • 点击添加新端口范围可设置多个端口范围,点击添加新端口可设置多个端口。

    白名单条目创建完成后将显示在白名单列表中。

管理白名单

  • 在白名单列表中,点击白名单名称可查看条目详情。

  • 在白名单列表右侧点击more > 编辑信息,可编辑白名单条目的别名和描述。

  • 在白名单列表右侧点击more > 白名单设置,可修改白名单条目的设置。

  • 在白名单列表右侧点击more > 删除,可删除白名单条目。

    警告

    删除白名单条目可能会导致当前项目中的容器组网络连接中断,请谨慎执行此操作。