managing-network-policies

Umiejętność do tworzenia i zarządzania manifestami NetworkPolicy w Kubernetes. Automatycznie generuje reguły ingress i egress dla podów, przestrzeni nazw i zewnętrznych punktów końcowych, wdrażając zero-trust networking. Obsługuje selektory etykiet, bloki CIDR, specyfikacje portów i wymaga CNI wspierającego NetworkPolicy (Calico, Cilium, Weave Net). Idealna dla DevOps — oszczędza czas przy mapowaniu komunikacji między usługami i konfiguracji reguł zapory.

1. Przygotuj mapę komunikacji aplikacji: zidentyfikuj wszystkie połączenia między usługami, bazami danych i zewnętrznymi API, które pody muszą nawiązywać. Dokumentuj źródła, cele i porty dla każdej ścieżki komunikacji.

2. Wyzwól umiejętność frazami takimi jak "create network policy", "configure firewall rules", "restrict pod communication" lub "setup ingress/egress rules". Upewnij się, że Twój klaster Kubernetes ma zainstalowaną wtyczkę CNI wspierającą NetworkPolicy (Calico, Cilium lub Weave Net).

3. Zacznij od polityki default-deny dla ingress i egress w każdej przestrzeni nazw, aby ustalić bazę zero-trust. Umiejętność wygeneruje manifesty YAML z tą strategią.

4. Dodaj jawne reguły allow dla każdej legitymnej ścieżki komunikacji, określając etykiety podów źródłowych, etykiety podów docelowych i porty. Pamiętaj, aby zawsze uwzględnić regułę egress dla DNS — pody muszą mieć dostęp do kube-dns na porcie 53 (UDP/TCP) do rozwiązywania nazw.

5. Dla dostępu do zewnętrznych API zdefiniuj reguły egress używając bloków CIDR. Umiejętność wygeneruje manifesty z odpowiednimi specyfikacjami portów i selektorami.

6. Zastosuj wygenerowane manifesty NetworkPolicy za pomocą kubectl: uruchom polecenia z dozwolonymi narzędziami (Read, Write, Edit, Bash z uprawnieniami kubectl) i zweryfikuj, że pody mogą komunikować się zgodnie z oczekiwaniami.