问题标签 [kubernetes-networkpolicy]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
networking - 如何编写 k8s NetworkPolicy 来拒绝从 pod 到 pod 的流量?
我正在努力编写 K8s 网络策略以拒绝从 pod 到 pod 的流量,必须通过标签或名称指定 pod。
有人能帮我吗?
我不是 devops/sys 管理员。我需要这个来进行集成测试。我检查了 https://github.com/ahmetb/kubernetes-network-policy-recipes示例。但还是做不到。
这是仅允许从一项服务访问的示例
但我需要相反的东西,丹尼只来自一个吊舱。
security - 如何动态设置 Kubernetes Network Policy 中的信息?
我有几个关于 Kubernetes 的问题:如何保护 Kubernetes 集群?
我的计划是开发一个默认保护 Kubernetes 集群的应用程序。我已经成功编写并测试了一些网络策略。作为第二步,我想根据云提供商等在我的应用程序中动态设置这些信息。
1.)我想阻止访问主机网络以及元数据服务(我的集群在 AWS 上运行):
有谁知道我如何动态访问主机网络?我发现一个问题说你必须使用元数据服务:https ://github.com/kubernetes/kubernetes/issues/24657
有谁知道我如何知道我目前在哪个云提供商上运行?根据该信息,我想设置元数据服务 IP。
2.) 我想阻止对“kube-system”命名空间的访问:
有谁知道我可以如何强制执行实际的拒绝访问?据我了解,标有“命名空间”的键只是我选择的名称。Kubernetes 怎么知道我实际上是指命名空间而不是其他意思?
3.) 我想阻止 Internet 访问:
有谁知道,像 DMZ 区域中的 DNS 服务器之类的东西是否仍然可以访问?
4.) 我想阻止与具有不同命名空间的 pod 的通信:
在这里,我开发了一个动态设置命名空间的控制器。
kubernetes - kubernetes networkpolicy namespaceSelector 在命名空间没有标签时选择
我正在尝试添加一个印花布网络策略,以允许我的命名空间与 kube-system 命名空间通信。但是在我的 k8s 集群中,kube-system 没有附加标签,所以我无法在其中选择 pod。以下是我尝试过的,但它不起作用。
我有一种方法可以仅按名称选择名称空间吗?
kubernetes - Kubernetes 网络策略与外部服务
问题:
我正在尝试使我的 API 能够进入我的外部托管数据库,同时要求将其他所有内容列入白名单。
我在这里尝试了各种组合。网络插件策略,将外部数据库映射到基于集群的服务等,我没有运气。
注意:是的,我允许所有命名空间通信。
上面的代码是我在逻辑上解决问题的地方......但它仍然不起作用。如果这可能会产生影响,我还有一个位于此之外的负载均衡器?
代码:
我有一个依赖于后端 API 的前端(都在默认命名空间内)。然后是外部数据库。我实施了默认拒绝策略:
然后我允许从网络访问前端:
kubernetes - 只允许出口到互联网
我有一个坐在边缘的服务。该服务需要通过 Internet 向某处发送一些内容。
我正在使用 Canal CNI。
我可以定义一个只允许出口到互联网而不是集群的其余部分的 NetworkPolicy 吗?
kubernetes - 网络策略不适用于守护程序集
我在 IBM 云中有一个 kubernetes 集群,它有一个 daemonset 和后端 pod。我已经设置了一个网络策略,后端服务可以接受守护进程请求。但是在Connection Refused向后端 pod 发送请求时,守护程序集会显示错误。任何想法?
守护进程yaml
后端 yaml
google-kubernetes-engine - 允许在 gke 上的 kubernetes 网络策略中使用的 stackdriver ip 范围
我们在 gke 上运行一些 node.js 代码,并使用 googles @google-cloud/logging-winston 库直接登录到 stackdriver - 日志正在工作,这不是问题。我们还使用 kubernetes 网络策略来限制进出我们的 Pod 的流量。
我无法弄清楚出口策略中允许哪些 IP 范围以使堆栈驱动程序日志记录正常工作。当我允许所有目的地时,日志记录正在工作,但我想缩小一点范围......
google-cloud-platform - 访问 Google Cloud Storage Bucket 的网络策略
我有一个正在运行的 GKE 集群,它托管一个需要访问存储桶的应用程序。为此,我正在使用gsutils.
当前的网络策略非常严格,我只允许访问真正需要它的端点。有了我的策略,如果我登录到我的 Pod 并运行gsutil ls,我会得到
但是当我取消网络策略的那一刻,我可以看到我所有的存储桶。
现在我不确定如何指定网络策略规则。这意味着我不知道应该将哪些 IP 范围/主机名/端口添加到我的网络策略中以将 Google Cloud Storage 列入白名单。有人可以帮我解决这个问题吗?
kubernetes - 无法从 GKE 连接到 www.googleapis.com
我有一个在我的 GKE 集群中运行的应用程序,它需要访问www.googleapis.com. 我还利用网络策略来增强安全性。
在默认拒绝所有出口流量的情况下,我无法www.googleapis.com自然连接。我得到错误
我发现主机名www.googleapis.com对应IP216.58.207.36
所以我继续在我的网络策略中创建了一个出口条目
现在从 Pod 内部,我可以远程登录这个端点
但由于某种原因,我仍然遇到同样的错误
但是,如果我删除网络策略,我可以连接
我的网络策略默认允许所有入口流量
知道我在这里可能缺少什么吗?在这种情况下,我需要将其他 IP 地址列入白名单吗?
编辑
网络策略到位后,我进行了测试curl,我得到了
删除网络策略时不会发生这种情况。
kubernetes - Kubernetes 网络策略出口端口
我有以下网络策略来限制对前端服务页面的访问:
我的问题是:我可以使用我的出口规则(443 端口限制)强制执行 HTTPS,如果可以,这是如何工作的?假设客户端连接到前端服务,客户端在他的机器上选择一个随机端口进行连接,Kubernetes 是如何知道该端口的,或者集群中是否存在某种端口映射,因此返回客户端的流量是在端口 443 上并在离开集群时映射回客户端的原始端口?