Kubernetes 範囲階層は、範囲解決プロセスにとって重要です。範囲解決プロセスは、ワークロードが存在する最も具体的な範囲を見つけ、その範囲で Kubernetes ワークロードに適用するポリシーを定義します。
重複範囲の Kubernetes ワークロードの範囲解決
範囲は設計によって重複しています。つまり、ワークロードは複数の重複する範囲に属している可能性があります。ただし、Kubernetes ワークロードはそれぞれ 1 つの ポリシー に関連付けられます。範囲の解決ロジックを実行することで、システムは各ワークロードの最も具体的な範囲に関連するポリシーを見つけます。
範囲を計画することで、他のシステムに影響を与えることなく、Kubernetes 環境内の特定の領域に適用されるポリシーを決定できます。
範囲のランク付け
範囲は、特性別にランク付けされます。具体的な範囲は、一般的な範囲よりも優先されます。
次の図は、範囲をランク付けしています。図には、クラスタ グループと名前空間内のワークロードのさまざまな色のボックスと、それらを含む範囲の緑色のボックスが表示されます。最も具体的な範囲は階層の一番上にあります。
範囲の例図
| ランク付け | 説明 |
|---|---|
| 特定のクラスタ内の特定の名前空間内のリソース。 | 特定の Kubernetes セキュリティ強化ポリシーを使用するための範囲の最も具体的な定義。 |
| 特定のクラスタ グループ内の特定の名前空間内のリソース | クラスタ グループ内のこれらの特定の名前空間のみがカバーされます。 |
| 特定のクラスタ内のリソース | クラスタ内のすべての名前空間がカバーされます。隔離されたテスト クラスタでアプリケーションをテストする範囲の例: test-acme-app
|
| 任意のクラスタ内の特定の名前空間内のリソース | 名前空間に対して定義され、名前空間を含むすべてのクラスタに対して有効なアプリケーション範囲。名前空間をカバーする Kubernetes 環境全体の範囲の例: acme-app
|
| 特定のクラスタ グループ内のリソース | この高レベルな範囲は、クラスタのグループをカバーします。本番環境とテスト環境の 2 つの範囲の例:
|
| すべてのリソース - [任意] の範囲を参照してください。 | デフォルトの[任意]の範囲には、システム内のすべてのワークロードが含まれ、他のすべての範囲と重複しています。特定の Kubernetes リソースの範囲は、デフォルトの範囲よりも優先されます。
|
