带有 kubectl get pod 命令的Init容器用于获取其他pod的就绪状态 .
打开Egress NetworkPolicy后,init容器无法访问Kubernetes API: Unable to connect to the server: dial tcp 10.96.0.1:443: i/o timeout . CNI是Calico .
尝试了几个规则,但它们都没有工作(服务和主机主机IP,不同的CIDR掩码):
...
egress:
- to:
- ipBlock:
cidr: 10.96.0.1/32
ports:
- protocol: TCP
port: 443
...
或使用命名空间(默认和kube系统命名空间):
...
egress:
- to:
- namespaceSelector:
matchLabels:
name: default
ports:
- protocol: TCP
port: 443
...
看起来像 ipBlock 规则只是因为kubernetes api是非标准的pod .
可以配置吗? Kubernetes是1.9.5,Calico是3.1.1 .