【发布时间】:2018-06-20 13:02:13
【问题描述】:
我一直在试验k8s/kops/aws套件。
到目前为止,一切进展顺利(通过kops 更新集群时的issue 除外)
我希望能够利用我现有的资源/集群并在同一个集群中部署我的应用程序的两种风格(即production 和testing)。
为了安全起见,我希望最大限度地隔离这两个部署的 k8s 资源。
肯定会有不同的命名空间。
通过一些调查我发现我还需要申请NetworkPolicy来防止namespace之间的通信;但是,应用 NetworkPolicy 资源需要支持网络解决方案(当前使用 kubenet,默认为 kops,没有)。
解决方案/插件是什么?
只想要(至少暂时)上面描述的隔离级别,我认为可以通过NetworkPolicy 实现,即使所有 pod 都有一个共同的CIDR(只是说是为了强调有只需要最简单的网络解决方案即可实现这一目标,没有更多花哨的CIDRs 等)。
理想情况下,我希望能够仅将NetworkPolicy 资源用于一些基于namespace (namespaceSelector) 和基于pod (podSelector) 的入口规则和就这样(?)
【问题讨论】:
标签: networking kubernetes kubernetes-security