cks

3.9 Cilium NetworkPolicy

Detalhamento de Cilium NetworkPolicy (CNP) para o CKS.

O que é

O Cilium é um CNI que estende o modelo de rede do Kubernetes. Além das NetworkPolicies padrão, oferece CiliumNetworkPolicy (CRD) com recursos extras: políticas por identidade (endpointSelector), egress/egressDeny mais granulares, e suporte a mTLS entre pods (autenticação mútua).

Documentação oficial

• Cilium Network Policies
• CiliumNetworkPolicy CRD

API e kind

• apiVersion: cilium.io/v2
• kind: CiliumNetworkPolicy

Comandos

# Listar CiliumNetworkPolicies em um namespace
kubectl get cnp -n <namespace>

# Aplicar policy
kubectl apply -f policy.yaml

Estrutura típica

• endpointSelector: seleciona os pods (Cilium endpoints) aos quais a policy se aplica (equivalente ao podSelector, com sintaxe Cilium).
• egress / egressDeny: regras de saída permitidas ou negadas (toEndpoints, toCIDR, toFQDNs, etc.).
• ingress / ingressDeny: regras de entrada.
• authentication: mTLS entre identidades (Cilium pode fazer autenticação mútua entre pods que correspondem aos seletores).

Exemplo mínimo (valores a ajustar):

apiVersion: cilium.io/v2
kind: CiliumNetworkPolicy
metadata:
  name: example
  namespace: <namespace>
spec:
  endpointSelector: {}
  egress:
  - toEndpoints:
    - matchLabels:
        role: metadata-accessor
    toPorts:
    - ports: ["80"]
      protocol: TCP

No exame CKS

• Use kubectl get cnp para listar políticas Cilium.
• Crie/edite YAML com kind: CiliumNetworkPolicy e apiVersion: cilium.io/v2.
• Entenda endpointSelector (quem recebe a regra), egress/egressDeny e, se citado, authentication (mTLS).