AdminNetworkPolicy
Le NetworkPolicy sono per-namespace e le gestisce chi possiede il namespace: non bastano quando la piattaforma deve imporre regole che nessun tenant può scavalcare. Per questo esistono AdminNetworkPolicy (ANP) e BaselineAdminNetworkPolicy (BANP), cluster-scoped, gestite dagli amministratori.
Ordine di valutazione
Sezione intitolata “Ordine di valutazione”- ANP — valutate per prime, in ordine di priorità numerica. Azioni: Allow, Deny, Pass. Un
Allow/Denydecide subito;Passdelega la decisione ai livelli sotto. - NetworkPolicy — le regole di namespace.
- BANP — un’unica policy
defaultcluster-wide, guardrail finale se nulla ha deciso prima.
Questo dà agli amministratori controlli che stanno sopra le NetworkPolicy dei tenant (ANP) e un default di sicurezza sotto (BANP).
Esempio ANP
Sezione intitolata “Esempio ANP”cat <<'YAML' | oc apply -f -apiVersion: policy.networking.k8s.io/v1alpha1kind: AdminNetworkPolicymetadata: name: platform-guardrailspec: priority: 10 subject: namespaces: {} ingress: - name: no-cross-tenant-monitoring action: Deny from: - namespaces: matchLabels: { tier: untrusted }YAMLQuando usarle
Sezione intitolata “Quando usarle”- ANP: obblighi di sicurezza cluster-wide (isolare tenant fra loro, consentire solo il monitoring dalla piattaforma).
- BANP: postura di default (es. deny cross-namespace) che i team possono poi allentare con le proprie NetworkPolicy.