保护网络安全

您可以使用网络策略来控制允许或拒绝哪些连接。

请注意: 您可以在集群上选择性地部署 IBM® Software Hub 多个实例。 如果您的集群 IBM Software Hub 中存在多个实例,则需要调整网络策略以确保每个实例均能正常运行。 有关多租户的背景信息,请参阅多租户支持

网络策略

如果集群 OpenShift® 的网络隔离模式设置为 NetworkPolicy (默认值),则可控制不同项目(命名空间)之间的流量流动。 要定义流程,请使用自定义 NetworkPolicy 资源。

要了解有关网络策略的更多信息,请参阅文档 Red Hat® OpenShift Container Platform 中的 《关于网络策略》 部分:

缺省情况下,项目中所有的 Pod 都可以从其他 Pod 和网络端点访问。 要隔离项目中的一个或多个 Pod,可以在该项目中创建 NetworkPolicy 对象,以指出允许的传入连接。

网络策略具有累积性,因此您可以组合多个网络策略以满足复杂的网络需求。

网络策略适用于 Certificate manager

运行以下命令以查看应用于 Certificate managerIBM Cloud Pak foundational services 安装 的项目的网络策略:

oc get networkpolicy \
--namespace=${PROJECT_CERT_MANAGER}
查找以下网络策略:
  • deny-by-default
  • allow-from-same-namespace
  • allow-same-namespace

如果将上述任何网络策略应用于该项目,请为该项目创建以下网络 Certificate manager策略:

允许从以下项进行访问: Operator Lifecycle Manager

以下网络策略适用于项目 Certificate manager 中的所有 Pod。 该网络策略允许项目 Certificate manager 中的 Pod 接受来自项目 Operator Lifecycle Manager 中其他 Pod 的传入通信。

cat <<EOF |oc apply -f -
kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
  name: allow-from-openshift-operator-lifecycle-manager
  namespace: ${PROJECT_CERT_MANAGER}
spec:
  podSelector: {}
  ingress:
    - from:
        - namespaceSelector:
            matchLabels:
              kubernetes.io/metadata.name: openshift-operator-lifecycle-manager
  policyTypes:
    - Ingress
EOF
允许从API服务器访问

以下网络策略适用于项目 Certificate manager 中的所有 Pod。 该网络策略允许 Certificate manager 项目中的 Pod 接受来自 API 服务 Red Hat OpenShift Container Platform 器的传入通信。

cat <<EOF |oc apply -f -
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  labels:
    component: cpfs3
  name: allow-webhook-access-from-apiserver
  namespace: ${PROJECT_CERT_MANAGER}
spec:
  ingress:
  - from:
    - namespaceSelector: {}
      podSelector:
        matchLabels:
          apiserver: "true"
  podSelector: {}
  policyTypes:
  - Ingress
EOF
允许从 Certificate manager webhook 访问

以下网络策略适用于项目 Certificate manager 中的所有 Pod。 该网络策略允许项目 Certificate manager 中的Pod接受来自 Certificate manager webhook的传入通信。

cat <<EOF |oc apply -f -
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: access-to-cert-manager-webhook
  namespace: ${PROJECT_CERT_MANAGER}
  labels:
    component: cpfs3
spec:
  podSelector:
    matchLabels:
      app: ibm-cert-manager-webhook
  ingress:
  - {}
EOF

网络策略适用于 License Service

运行以下命令以查看应用于 License ServiceIBM Cloud Pak foundational services 安装 的项目的网络策略:

oc get networkpolicy \
--namespace=${PROJECT_LICENSE_SERVICE}
查找以下网络策略:
  • deny-by-default
  • allow-from-same-namespace
  • allow-same-namespace

如果将上述任何网络策略应用于该项目,请为该项目创建以下网络 License Service策略:

允许从以下项进行访问: Operator Lifecycle Manager

以下网络策略适用于项目 License Service 中的所有 Pod。 该网络策略允许项目 License Service 中的 Pod 接受来自项目 Operator Lifecycle Manager 中其他 Pod 的传入通信。

cat <<EOF |oc apply -f -
kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
  name: allow-from-openshift-operator-lifecyele-manager
  namespace: ${PROJECT_LICENSE_SERVICE}
spec:
  podSelector: {}
  ingress:
    - from:
        - namespaceSelector:
            matchLabels:
              kubernetes.io/metadata.name: openshift-operator-lifecycle-manager
  policyTypes:
    - Ingress
EOF
允许访问使用报告

以下网络策略适用于项目 License Service 中的所有 ibm-license-service-reporter-instance Pod。 网络策略允许Pod响应下载使用情况报告的请求。

cat <<EOF |oc apply -f -
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: access-to-ibm-licensing-service-reporter
  namespace: ${PROJECT_LICENSE_SERVICE}
  labels:
    component: cpfs3
spec:
  podSelector:
    matchLabels:
      app: ibm-license-service-reporter-instance
  ingress:
    - {}
  policyTypes:
    - Ingress
EOF
允许提交使用指标

以下网络策略适用于项目 License Service 中的所有 ibm-licensing-service-instance Pod。 网络策略允许Pod接受使用情况指标。

cat <<EOF |oc apply -f -
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: access-to-ibm-licensing-service-instance
  namespace: ${PROJECT_LICENSE_SERVICE}
  labels:
    component: cpfs3
spec:
  podSelector:
    matchLabels:
      app: ibm-licensing-service-instance
  ingress:
    - {}
  policyTypes:
    - Ingress
EOF

网络策略适用于 scheduling service

集群管理员或 scheduling service 管理员可创建以下网络策略以隔离 scheduling service
允许访问集群资源及其外部资源

以下网络策略适用于项目 scheduling service 中的所有 Pod。

外发通信

网络策略拒绝项目中所有出站流量, scheduling service 但以下情况除外:

  • Red Hat OpenShift Container Platform API 服务器的请求
  • 查询 Red Hat OpenShift Container Platform DNS 服务
传入通信

网络策略拒绝所有进入该 scheduling service 项目的入站流量,但以下情况除外:

  • 来自 Red Hat OpenShift Container Platform API服务器的传入通信
  • 来自的来信 Prometheus
  • 项目 Operator Lifecycle Manager 中来自舱体的传入通信
cat <<EOF |oc apply -f -
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: common
  namespace: ${PROJECT_SCHEDULING_SERVICE}
  labels:
    icpdsupport/addOnId: scheduling
    icpdsupport/ignore-on-nd-backup: "true"
    velero.io/exclude-from-backup: "true"
spec:
  egress:
  - to:
    - namespaceSelector: {}
      podSelector:
        matchLabels:
          apiserver: "true"
  - to:
    - podSelector: {}
      namespaceSelector:
        matchLabels:
          kubernetes.io/metadata.name: openshift-dns
  ingress:
  - from:
    - podSelector: {}
      namespaceSelector:
        matchLabels:
          openshift.io/cluster-monitoring: "true"
  - from:
    - podSelector: {}
      namespaceSelector:
        matchLabels:
          kubernetes.io/metadata.name: openshift-operator-lifecycle-manager
  - from:
    - namespaceSelector: {}
      podSelector:
        matchLabels:
          apiserver: "true"
  podSelector: {}
  policyTypes:
  - Egress
  - Ingress
EOF
允许从 scheduling service webhook 访问

以下网络策略适用于项目 scheduling service 中的所有 Pod。 该网络策略允许项目 scheduling service 中的Pod接受来自 scheduling service webhook的传入通信。

cat <<EOF |oc apply -f -
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: webhook
  namespace: ${PROJECT_SCHEDULING_SERVICE}
  labels:
    icpdsupport/addOnId: scheduling
    icpdsupport/ignore-on-nd-backup: "true"
    velero.io/exclude-from-backup: "true"
spec:
  podSelector:
    matchLabels:
      netpol: webhook
  ingress:
  - {}
  policyTypes:
  - Ingress
EOF

网络策略用于隔离实例 IBM Software Hub

集群管理员可以创建以下网络策略来隔离实例 IBM Software Hub

这些策略共同作用,为实例提供受控访问。 您可以对集群 IBM Software Hub 中的每个实例重复此过程。

在操作数项目中拒绝所有网络流量

以下网络策略适用于operands项目中的所有Pod。 网络策略拒绝所有发往操作数项目的入站流量。

cat <<EOF |oc apply -f -
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: deny-by-default
  namespace: ${PROJECT_CPD_INST_OPERANDS}
spec:
  podSelector:
    ingress: []
EOF
在操作数项目中启用荚间通信

以下网络策略适用于operands项目中的所有Pod。 该网络策略允许operands项目中的Pod相互通信。

cat <<EOF |oc apply -f -
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-from-same-namespace
  namespace: ${PROJECT_CPD_INST_OPERANDS}
spec:
  podSelector: {}
  policyTypes:
    - Ingress
  ingress:
    - from:
      - podSelector: {}
EOF
启用来自 Ingress Red Hat OpenShift Container Platform 控制器的连接

以下网络策略适用于operands项目中的所有Pod。 该网络策略允许operands项目中的Pod接受来自 Red Hat OpenShift Container Platform Ingress Controller的传入通信。

cat <<EOF |oc apply -f -
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-from-openshift-ingress
  namespace: ${PROJECT_CPD_INST_OPERANDS}
spec:
  podSelector: {}
  policyTypes:
  - Ingress
  ingress:
  - from:
    - namespaceSelector:
        matchLabels:
          network.openshift.io/policy-group: ingress
EOF
启用来自监控堆栈 Red Hat OpenShift Container Platform 的连接

以下网络策略适用于operands项目中的所有Pod。 网络策略允许operands项目中的Pod接受来自监控堆栈 Red Hat OpenShift Container Platform 的传入通信。

cat <<EOF |oc apply -f -
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-from-openshift-monitoring
  namespace: ${PROJECT_CPD_INST_OPERANDS}
spec:
  podSelector: {}
  policyTypes:
  - Ingress
  ingress:
  - from:
      - namespaceSelector:
          matchLabels:
            network.openshift.io/policy-group: monitoring
EOF
启用Web客户端与操作数项目进行通信

以下网络策略适用于 operands 项目中的 Pod ibm-nginx 。 网络策略允许operands项目中的Pod ibm-nginx 接受来自Web IBM Software Hub 客户端的传入通信。

cat <<EOF |oc apply -f -
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-access-to-front-door
  namespace: ${PROJECT_CPD_INST_OPERANDS}
spec:
  podSelector:
    matchLabels:
      component: "ibm-nginx"
  policyTypes:
    - Ingress
  ingress:
    - {}
EOF
启用操作数项目与操作符项目进行通信

以下网络策略适用于operands项目中的所有Pod。 网络策略允许操作符项目中的Pod接受来自操作符项目的实例传入通信。

cat <<EOF |oc apply -f -
kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
  name: allow-from-cpd-operator-ns
  namespace: ${PROJECT_CPD_INST_OPERANDS}
spec:
  ingress:
  - from:
    - namespaceSelector:
        matchLabels:
          kubernetes.io/metadata.name: ${PROJECT_CPD_INST_OPERATORS}
  podSelector: {}
  policyTypes:
  - Ingress
EOF

限制出口

您应考虑是否需要采取额外措施来限制从 IBM Software Hub...的出口。 在某些环境中(例如在受限网络中运行的集群),这可能并非必要;您现有的网络配置或防火墙规则应足以限制出站流量。

强烈建议您查阅 Red Hat OpenShift 安全指南 以确定应在您的环境中实施哪些安全措施。

由各个服务实施的网络策略

以下服务在安装过程中会实施额外的网络策略。

服务 自动安装的网络策略
AI Factsheets 该服务不会自动创建网络策略。
Anaconda Repository for IBM Cloud Pak for Data 不适用。 该服务未安装在集群上。
Analytics Engine powered by Apache Spark 该服务不会自动创建网络策略。
Cognos Analytics 该服务不会自动创建网络策略。

若您计划在绑定项目 Cognos Analytics 中配置实例,且 Certificate manager已为 IBM Software Hubcontrol planeLicense Service和应用网络策略,则必须创建网络策略以允许服务实例与这些组件通信。 有关创建网络策略的更多信息,请参阅 《为...添加网络 Cognos Analytics策略 》。
Cognos Dashboards 该服务不会自动创建网络策略。
Data Gate Data Gate 自动创建以下防御性网络策略:
dg-<instance_id>-data-gate-network-policy
允许来自 pod Data Gate 内部以及外部的入站流量 Db2 for z/OS。 所有其他传入流量均被拒绝。
dg-<instance_id>-deny-all-network-policy
拒绝所有发往 Data Gate pod 的入站流量。
dg-<instance_id>-ui-network-policy
允许传入流量访问 UI Data Gate 容器的特定端口。 所有其他发往 UI 容器的入站流量均被拒绝。
Data Privacy Data Privacy 自动创建以下防御性网络策略:
dp-api-policy
允许来自该 dp-privacyprocessor-* Pod 的入站流量访问该 dp-api-* Pod 的特定端口。 所有其他发往 pod dp-api-* 的入站流量均被拒绝。
dp-privacyprocessor-policy
允许来自该 wkc-gov-ui-* Pod 的入站流量访问该 dp-privacyprocessor-* Pod 的特定端口。 所有其他发往 pod dp-privacyprocessor-* 的入站流量均被拒绝。
dp-subset-policy
允许来自 pod 和 dp-privacyprocessor-* pod dp-api-* 的入站流量访问 pod dp-subset-* 的特定端口。 所有其他发往 pod dp-subset-* 的入站流量均被拒绝。
dp-ui-policy
允许传入流量访问该 dp-ui-* Pod 的特定端口。 所有其他发往 pod dp-ui* 的入站流量均被拒绝。
Data Product Hub
Data Refinery 该服务不会自动创建网络策略。
Data Replication Data Replication 自动创建以下防御性网络策略:
replication-ibm-replication-apiserver-network-policy
允许来自 pods nginx 和 operator Data Replication pod 的入站流量进入 pods apiserver 。 所有其他发往 pod apiserver 的入站流量均被拒绝。
replication-ibm-replication-engine-network-policy
允许来自 pods apiserver 和 operator Data Replication pod 的入站流量进入 pods replication-engine 。 所有其他发往 pod replication-engine 的入站流量均被拒绝。
DataStage DataStage 自动创建以下防御性网络策略:
datastage-ibm-datastage-network-policy
允许来自 ibm-nginx pod 和 DataStage pod 的入站流量 DataStage 访问 pod 的特定端口。 拒绝所有其他传入流量。
datastage-ibm-datastage-px-compute-network-policy
允许来自 DataStage pod 的入站流量访问 pod px-compute 上的任意端口。
datastage-ibm-datastage-px-runtime-network-policy
允许来自 ibm-nginx pods 和 px-compute pods 的入站流量访问 pods px-runtime 上的任意端口。
Data Virtualization Data Virtualization 自动创建以下防御性网络策略:
dv-deny-by-default
拒绝所有发往 Data Virtualization pod 的入站流量。
dv-addon
允许来自 pod ibm-nginx 的入站流量访问 pod Data Virtualizationaddon 的 8080 和 8443 端口。 拒绝所有其他传入流量。
dv-service-provider
允许来自操作项目中任何Pod的入站流量访问端口 Data Virtualizationservice-provider 3443。 拒绝所有其他传入流量。
Db2 Db2 自动创建以下防御性网络策略:
database-core-np-ext
允许来自任何 Pod 的传入流量访问特定 Pod zen-database-core 的特定端口。

此外,当您创建数据库实例时, Db2 系统会自动创建以下防御性网络策略:

c-db2oltp-<instance_id>
允许来自与该实例关联的其他Pod的入站流量访问数据库实例Pod的任意端口。
c-db2oltp-<instance_id>-ext
允许来自任何Pod的入站流量访问数据库引擎Pod的特定端口。
Db2 Big SQL Db2 Big SQL 自动创建以下防御性网络策略:
bigsql-deny-by-default
拒绝所有发往 Db2 Big SQL pod 的入站流量。
bigsql-addon
允许来自特定 ibm-nginx Pod 的入站流量访问目标 Db2 Big SQLaddon Pod 的指定端口。 拒绝所有其他传入流量。
bigsql-service-provider
允许来自操作项目中任何 Pod 的入站流量访问目标 Db2 Big SQLservice-provider Pod 的特定端口。 拒绝所有其他传入流量。
Db2 Data Management Console Db2 Data Management Console 自动创建以下防御性网络策略:
  • ibm-dmc-addon-api
  • ibm-dmc-addon-ui
  • ibm-dmc-<instance-id>-admin
  • ibm-dmc-<instance-id>-dbapi
  • ibm-dmc-<instance-id>-default-net
  • ibm-dmc-<instance-id>-explain
  • ibm-dmc-<instance-id>-job-scheduler
  • ibm-dmc-<instance-id>-monitor
  • ibm-dmc-<instance-id>-nginx
  • ibm-dmc-<instance-id>-registry-manager
  • ibm-dmc-<instance-id>-runsql
Db2 Warehouse Db2 Warehouse 自动创建以下防御性网络策略:
database-core-np-ext
允许来自任何 Pod 的传入流量访问特定 Pod zen-database-core 的特定端口。

此外,当您创建数据库实例时, Db2 Warehouse 系统会自动创建以下防御性网络策略:

c-db2wh-<instance-id>
允许来自与该实例关联的其他Pod的入站流量访问数据库实例Pod的任意端口。
c-db2wh-<instance-id>-ext
允许来自任何Pod的入站流量访问数据库引擎Pod的特定端口。
Decision Optimization Decision Optimization 自动创建以下防御性网络策略:
dods-ibm-dods-dd-network-policy
允许来自 ibm-nginx pod 和 monitoring-cronjob pod 的入站流量访问 pod ibm-dods 的特定端口。 拒绝所有其他传入流量。
EDB Postgres 该服务不会自动创建网络策略。
Execution Engine for Apache Hadoop Execution Engine for Apache Hadoop 自动创建以下防御性网络策略:
hadoop-kubectl-network-policy
允许来自 ibm-nginx pods 的入站流量进入 pods hadoop-kubectl 。 拒绝所有其他传入流量。
utils-api-network-policy
允许来自 ibm-nginx pods 的入站流量进入 pods utils-api 。 拒绝所有其他传入流量。
IBM Knowledge Catalog 安装时, Db2U 会自动为内部数据库创建 IBM Knowledge Catalog以下防御性网络策略:
c-db2oltp-wkc
允许来自与内部数据库关联的其他Pod的入站流量访问内部数据库Pod的任意端口。
c-db2oltp-wkc-ext
允许来自任何Pod的入站流量访问内部数据库引擎Pod的特定端口。
IBM Knowledge Catalog Premium IBM Knowledge Catalog Premium 自动创建以下防御性网络策略:
govgenai-network-policy
允许来自实例项目中Pod的入站流量访问特定端口。 拒绝所有其他传入流量。

此外,当您安装 IBM Knowledge Catalog Premium时, Db2U 会自动为内部数据库创建以下防御性网络策略:

c-db2oltp-wkc
允许来自与内部数据库关联的其他Pod的入站流量访问内部数据库Pod的任意端口。
c-db2oltp-wkc-ext
允许来自任何Pod的入站流量访问内部数据库引擎Pod的特定端口。
IBM Knowledge Catalog Standard IBM Knowledge Catalog Standard 自动创建以下防御性网络策略:
govgenai-network-policy
允许来自实例项目中Pod的入站流量访问特定端口。 拒绝所有其他传入流量。

此外,当您安装 IBM Knowledge Catalog Standard时, Db2U 会自动为内部数据库创建以下防御性网络策略:

c-db2oltp-wkc
允许来自与内部数据库关联的其他Pod的入站流量访问内部数据库Pod的任意端口。
c-db2oltp-wkc-ext
允许来自任何Pod的入站流量访问内部数据库引擎Pod的特定端口。
IBM Master Data Management IBM Master Data Management 自动创建以下防御性网络策略:
mdm-deny-all-<instance-id>
拒绝所有发往该 IBM Master Data Management 部署的入站流量。
mdm-<instance-id>-ibm-rabbitmq
允许来自与部署 IBM Master Data Management 关联的服务 RabbitMQ Pod的入站流量访问 RabbitMQ 服务器的特定端口。
mdm-allow-elasticsearch-<instance-id>
允许来自与部署 IBM Master Data Management 关联的特定 IBM Master Data Management Pod 的入站流量进入 Elasticsearch Pod。
mdm-allow-foundationdb-<instance-id>
允许来自以下地址的入站流量访问 FoundationDB pod:
  • 与部署 IBM Master Data Management 相关的特定 IBM Master Data Management pod。
  • 操作员 IBM Master Data Management Pods。
mdm-allow-mdm-config-ui-<instance-id>
允许来自实例项目中 ibm-nginx pod 的入站流量进入 mdm-config-ui pod。
mdm-allow-mdm-configuration-<instance-id>
允许来自以下地址的入站流量访问 mdm-configuration pod:
  • 与部署 IBM Master Data Management 相关的特定 IBM Master Data Management pod。
  • ibm-nginx 实例项目中的pods。
mdm-allow-mdm-data-<instance-id>
允许来自以下地址的入站流量访问 mdm-data pod:
  • 与部署 IBM Master Data Management 相关的特定 IBM Master Data Management pod。
  • ibm-nginx 实例项目中的pods。
mdm-allow-mdm-em-ui-<instance-id>
允许来自以下地址的入站流量访问 mdm-em-ui pod:
  • 迁徙 IBM Master Data ManagementNeo4j 荚舱
  • ibm-nginx 实例项目中的pods。
mdm-allow-mdm-job-<instance-id>
允许来自以下地址的入站流量访问 mdm-job pod:
  • 与部署 IBM Master Data Management 相关的特定 IBM Master Data Management pod。
  • 与部署 IBM Master Data Management 相关的驱动程序 Spark
  • ibm-nginx 实例项目中的pods。
mdm-allow-mdm-matching-<instance-id>
允许来自以下地址的入站流量访问 mdm-matching pod:
  • 与部署 IBM Master Data Management 相关的特定 IBM Master Data Management pod。
  • ibm-nginx 实例项目中的pods。
mdm-allow-mdm-model-<instance-id>
允许来自以下地址的入站流量访问 mdm-model pod:
  • 与部署 IBM Master Data Management 相关的特定 IBM Master Data Management pod。
  • ibm-nginx 实例项目中的pods。
mdm-allow-neo4j-<instance-id>
允许来自以下地址的入站流量访问 Neo4j pod:
  • 与服务 IBM Master Data Management 部署相关的特定 IBM Master Data Management pod
  • IBM Master Data Management 操作员 pods
  • Neo4j-相关于实例 Neo4j 内的 pod
mdm-allow-rabbitmq-<instance-id>
允许来自与部署 IBM Master Data Management 关联的特定 IBM Master Data Management Pod 的入站流量进入 RabbitMQ Pod。
mdm-allow-redis-<instance-id>
允许来自与部署 IBM Master Data Management 关联的特定 IBM Master Data Management Pod 的入站流量进入 Redis Pod。
mdm-allow-spark-driver-<instance-id>
允许来自与部署 IBM Master Data Management 关联的执行器Pod Spark 的传入流量进入 Spark 驱动程序Pod。
mdm-allow-spark-executor-<instance-id>
允许来自以下来源的入站流量访问 Spark 执行器Pod:
  • 与部署 IBM Master Data Management 相关的驱动程序 Spark
  • 与该 IBM Master Data Management 部署相关的其他 Spark 执行器Pod
Informix 创建数据库实例时, Informix 系统会自动创建以下防御性网络策略:
informix-<instance-id>-cm
  • 允许来自数据库 Informix 实例的入站流量访问该 informix-<instance-id>-cm-0 Pod的特定端口。
  • 允许从 informix-<instance-id>-cm-0 pod 到数据库 Informix 实例的出站流量。
informix-<instance-id>-cp4dapi
  • 允许来自数据库 Informix 实例的入站流量访问该 informix-<instance-id>-cp4dapi-* Pod的特定端口。
  • 允许从 informix-<instance-id>-cp4dapi-* pod 发往 ibm-nginx pods 的出站流量。
informix-<instance-id>-monitor
  • 允许来自数据库 Informix 实例的入站流量访问该 informix-<instance-id>-monitor-* Pod的特定端口。
  • 允许从 informix-<instance-id>-monitor-* pod 发往 ibm-nginx pods 的出站流量。
informix-<instance-id>-server
  • 允许来自数据库 Informix 实例的入站流量访问该 informix-<instance-id>-server-0 Pod的特定端口。
  • 允许从该 informix-<instance-id>-server-0 pod 发往以下 pod 的出站流量:
    • zen-audit 操作员项目中的pod
    • Informix 数据库实例
informix-<instance-id>-wlistener
  • 允许来自数据库 Informix 实例的入站流量访问该 informix-<instance-id>-wlistener-* Pod的特定端口。
  • 允许从 informix-<instance-id>-wlistener-* pod 到数据库 Informix 实例的出站流量。
MANTA Automated Data Lineage 该服务不会自动创建网络策略。
MongoDB 该服务不会自动创建网络策略。
OpenPages 当您创建一个 OpenPages 服务实例时, OpenPages 系统会自动创建以下防御性网络策略:
openpages-<instance-name>-network-policy
允许传入流量访问服务 OpenPages 实例的特定端口。
Orchestration Pipelines 该服务不会自动创建网络策略。
Planning Analytics 该服务不会自动创建网络策略。
Product Master Product Master 自动创建以下防御性网络策略:
np-admin
允许来自其他 productmaster-restapi Pod 的入站流量访问该 productmaster-admin Pod 的特定端口。 拒绝所有其他传入流量。
np-ftsind
允许传入流量访问 pod productmaster-fts-indexer 的特定端口。 拒绝所有其他传入流量。
np-ftspim
允许来自 pod 和 productmaster-sch pod productmaster-restapi 的入站流量访问 pod productmaster-ftspim 的特定端口。 拒绝所有其他传入流量。
np-hazelcast
允许来自以下 Pod 的入站流量访问该 productmaster-hazelcast Pod 的特定端口:
  • productmaster-admin
  • productmaster-fts-indexer
  • productmaster-magento
  • productmaster-ml
  • productmaster-pim-collector
  • productmaster-restapi
  • productmaster-sch
  • productmaster-wfl
拒绝所有其他传入流量。
np-ml
允许来自 和 productmaster-wfl pod product master-sch 的入站流量 productmaster-ml 访问 pod 的特定端口。 拒绝所有其他传入流量。
np-persona
允许传入流量访问 pod productmaster-persona 的特定端口。 拒绝所有其他传入流量。
np-rest
允许来自以下 Pod 的入站流量访问该 productmaster-rest api Pod 的特定端口:
  • productmaster-admin
  • productmaster-magento
  • productmaster-wfl
拒绝所有其他传入流量。
np-sch
允许来自 pod 和 productmaster-restapi pod productmaster-admin 的入站流量访问 pod productmaster-sch 的特定端口。 拒绝所有其他传入流量。
np-wfl
允许来自 pod 和 productmaster-restapi pod productmaster-admin 的入站流量访问 pod productmaster-sch 的特定端口。 拒绝所有其他传入流量。
RStudio® Server Runtimes 该服务不会自动创建网络策略。
SPSS Modeler 该服务不会自动创建网络策略。
Synthetic Data Generator 该服务不会自动创建网络策略。
Voice Gateway Voice Gateway 自动创建以下网络策略:
voicegateway-cr
允许来自集群外部的传入流量访问该 Voice Gateway Pod。
Watson Discovery Watson Discovery 自动创建以下防御性网络策略:
wd-discovery-deny-ingress-netpol
拒绝所有发往 Watson Discovery Pod 的传入连接。
wd-discovery-deny-external-netpol
禁止所有来自 Watson Discovery pod 的出站连接。
wd-discovery-allow-cluster-netpol
允许所有 Watson Discovery Pod 向集群中的其他 Pod 发送出站流量。
wd-discovery-crawler-external-netpol
允许从 wd-discovery-crawler Pod 向集群外部的服务发送出站流量。
wd-discovery-kubeapi-external-netpol
允许带有标签的 Watson Discovery Pod 将出站流量发送到集群 require-kubeapi-access=true外部的外部 Kubernetes API 服务器。
wd-discovery-postgres-external-netpol
允许从 wd-discovery-cn-postgres Pod 向集群外部的外部 Kubernetes API 服务器发送出站流量。
wd-discovery-webhook-external-netpol
允许从 wd-discovery-webhook-connector Pod 向集群外部的服务发送出站流量。
wd-discovery-*
以 开头的 wd-discovery-* 网络策略允许所有来自 Watson Discovery 以下来源的入站连接:
  • Watson Discovery pods
  • control planeIBM Software Hub 荚果

这包括以下网络策略:

  • wd-discovery-cn-postgres
  • wd-discovery-cnm-api
  • wd-discovery-converter
  • wd-discovery-crawler
  • wd-discovery-elastic
  • wd-discovery-enrichment-service
  • wd-discovery-entity-suggestion
  • wd-discovery-entity-training
  • wd-discovery-etcd-netpol
  • wd-discovery-gateway
  • wd-discovery-glimpse-builder
  • wd-discovery-glimpse-query
  • wd-discovery-haywire
  • wd-discovery-hdp-rm
  • wd-discovery-hdp-worker
  • wd-discovery-ingestion-api
  • wd-discovery-inlet
  • wd-discovery-management
  • wd-discovery-minerapp
  • wd-discovery-orchestrator
  • wd-discovery-outlet
  • wd-discovery-pgbouncer
  • wd-discovery-rabbitmq
  • wd-discovery-ranker-master
  • wd-discovery-ranker-rest
  • wd-discovery-rapi
  • wd-discovery-sdu
  • wd-discovery-serve-ranker
  • wd-discovery-stateless-api-model-runtime
  • wd-discovery-stateless-api-rest-proxy
  • wd-discovery-tooling
  • wd-discovery-training-crud
  • wd-discovery-training-rest
  • wd-discovery-webhook-connector
wd-rabbitmq-discovery
允许所有来自以下地址的传入连接到 Watson Discovery 组件 Pod:
  • Watson Discovery pods
  • control planeIBM Software Hub 荚果
Watson Machine Learning 该服务不会自动创建网络策略。
Watson OpenScale Watson OpenScale 自动创建以下防御性网络策略:
aiopenscale-ingress-network-policy
允许来自同一操作项目中平台、 AI FactsheetsOpenPagesWatson Machine LearningWatson OpenScale、和通用核心服务容器的入站流量。 同时允许传入流量进入操作员 Watson OpenScale 项目中的操作员 Pod。 拒绝所有其他传入流量。
Watson Speech services Watson Speech services 自动创建以下防御性网络策略:
<speech-cr-name>-network-policy
  • 允许来自操作数项目中具有以下任意标签的 Pod 的传入流量进入目标 Watson Speech services Pod:
    • app.kubernetes.io/name: monitoring-cronjob
    • component: ibm-nginx
    • component: watson-gateway
    • release: speech-cr
  • 允许来自操作员项目中具有以下任意标签的 pod Watson Speech services 的入站流量:
    • app.kubernetes.io/name: cloud-native-postgresql
    • app.kubernetes.io/name: watson-speech
Watson Studio 该服务不会自动创建网络策略。
Watson Studio Runtimes 该服务不会自动创建网络策略。
watsonx.ai™ 该服务不会自动创建网络策略。
watsonx Assistant watsonx Assistant 自动创建以下防御性网络策略:
  • wa-data-governor-ibm-data-governor-deny-all-network-policy
  • wa-data-governor-ibm-data-governor-network-policy
  • wa-data-governor-ibm-elasticsearch-headless-srv
  • wa-data-governor-kafka-entity-operator
  • wa-data-governor-kafka-network-policy-kafka
  • wa-data-governor-kafka-network-policy-zookeeper
  • wa-etcd
  • wa-network-policy-analytics
  • wa-network-policy-clu-embedding
  • wa-network-policy-clu-serving
  • wa-network-policy-clu-training
  • wa-network-policy-clu-triton-serving
  • wa-network-policy-deny-all
  • wa-network-policy-dialog
  • wa-network-policy-dragonfly-clu-mm
  • wa-network-policy-ed
  • wa-network-policy-etcd
  • wa-network-policy-gateway
  • wa-network-policy-incoming-webhooks
  • wa-network-policy-integrations
  • wa-network-policy-nlu
  • wa-network-policy-postgres
  • wa-network-policy-recommends
  • wa-network-policy-redis
  • wa-network-policy-spellchecker-mm
  • wa-network-policy-store
  • wa-network-policy-store-admin
  • wa-network-policy-system-entities
  • wa-network-policy-tfmm
  • wa-network-policy-ui
  • wa-network-policy-wa-knative-wa-clu-dlq
watsonx Code Assistant™ 该服务不会自动创建网络策略。
Watsonx Code Assistant™ for Red Hat Ansible® Lightspeed 该服务不会自动创建网络策略。
watsonx Code Assistant for Z 该服务不会自动创建网络策略。
watsonx Code Assistant for Z Code Explanation 该服务不会自动创建网络策略。
watsonx.data™ watsonx.data 自动创建以下防御性网络策略:
  • ibm-lh-deny-network-policy
  • ibm-lh-lakehouse-cas-network-policy
  • ibm-lh-lakehouse-hive-metastore-network-policy
  • ibm-lh-lakehouse-ibm-lh-postgres-network-policy
  • ibm-lh-lakehouse-minio-network-policy
  • ibm-lh-lakehouse-presto-01-coordinator-network-policy
  • ibm-lh-lakehouse-presto-01-worker-network-policy
  • ibm-lh-lakehouse-qhmm-network-policy
watsonx.governance™
  • 若您安装 OpenPages该服务,系统将自动创建以下网络策略:
    • openpages-<instance-name>-network-policy

    更多信息,请参见该 OpenPages 条目。

  • 若您安装 Watson OpenScale该服务,系统将自动创建以下网络策略:
    • aios-ingress-network-policy

    更多信息,请参见该 Watson OpenScale 条目。
watsonx™ Orchestrate watsonx Orchestrate 自动创建以下防御性网络策略:
wo-watson-orchestrate-network-policy-default-deny
拒绝所有进入操作数项目中 pod 的传入连接以及从 watsonx Orchestrate 这些 pod 发出的传出连接。
wo-watson-orchestrate-network-policy-allow-external
允许带有标签的 watsonx Orchestrate Pod 将出站流量 wo.watsonx.ibm.com/external-access: 'true'发送到集群外部的服务。
wo-watson-orchestrate-network-policy-cluster-egress
允许从 watsonx Orchestrate pod 向集群中其他 pod 发送出站流量。
wo-watson-orchestrate-network-policy-cp-egress
允许带有标签的 watsonx Orchestrate 流量从向 Kubernetes API wo.watsonx.ibm.com/control-plan-access=true: 'true'服务器发送出站请求。
wo-watson-orchestrate-network-policy-common-ingress
允许来自以下 Pod 的入站流量进入 watsonx Orchestrate Pod:
  • cloud-native-postgresql
  • entity-operator
  • ibm-events-operator
  • ibm-nginx
  • ibm-rabbitmq-operator
  • ibm-redis-cp-operator
  • ibm-watsonx-orchestrate-apicatalog
  • mongodb-enterprise-operator
  • usermgmt
  • zen-core
  • zen-core-api

拒绝所有其他传入流量。