0

默认情况下,Kubernetes 允许 pod 使用 pod IP 访问其他 pod。

我有 2 个豆荚。Pod1 和 Pod2。Pod1 有一个 mysql 服务器和一个 PHP 应用程序。Pod2 有一个 php 应用程序。Pod1 ip 为 174.17.0.4,在 Pod2 内,php 应用程序可以从该地址访问 mysql 服务器174.17.0.4:3306

Pod1 和 Pod2 是 2 个不同的应用程序。Pod2 与 Pod1 没有任何关系。所以我担心的是如果 Pod2 被黑了,黑客可以扫描网络并暴力攻击 Pod1 的 mysql 服务器。

如何禁止3306从 pod1 外部访问 mysql 端口?

4

2 回答 2

2

如果您的集群设置支持NetworkPolicy资源,您可以查看网络策略。有了它,您可以为特定的 pod 设置特定的入口和出口策略。

于 2020-01-15T23:29:24.520 回答
0

声明 a 的第一步Network Policy是安装network provider带有网络策略支持的 a。有关更多信息,请点击此链接。当我使用Minikube时,我安装了Cilium. 按照此链接了解如何安装它。并确保您的硬盘驱动器上有足够的空间,否则您Cilium podspending在事件中处于此错误状态1 node had taints that the pod didn't tolerate

于 2020-01-18T16:15:31.463 回答