如何禁止从 Kubernetes 中的 pod ip 访问容器端口

【问题标题】:How to disallow access to a container port from the pod ip in Kubernetes如何禁止从 Kubernetes 中的 pod ip 访问容器端口
【发布时间】:2020-01-15 22:43:51
【问题描述】:

默认情况下,Kubernetes 允许 pod 使用 pod IP 访问其他 pod。

我有 2 个豆荚。 Pod1 和 Pod2。 Pod1 有一个 mysql 服务器和一个 PHP 应用程序。 Pod2 有一个 php 应用程序。 Pod1 ip为174.17.0.4,在Pod2内php应用可以通过174.17.0.4:3306地址访问mysql服务器。

Pod1 和 Pod2 是 2 个不同的应用程序。 Pod2 与 Pod1 没有任何关系。所以我担心的是如果 Pod2 被黑了,黑客可以扫描网络并暴力攻击 Pod1 的 mysql 服务器。

如何禁止从 pod1 外部访问 mysql 端口 3306

【问题讨论】:

    标签: kubernetes kubernetes-pod kubernetes-deployment


    【解决方案1】:

    如果您的集群设置支持NetworkPolicy 资源,您可以查看network policy。有了它,您可以为特定的 pod 设置特定的入口和出口策略。

    【讨论】:

    • 注意:您可以通过this post查看您的集群的CNI是否支持网络策略。
    【解决方案2】:

    声明Network Policy 的第一步是安装具有网络策略支持的network provider。有关更多信息,请关注此link。当我使用Minikube 时,我安装了Cilium。按照这个link 了解如何安装它。并确保您的硬盘驱动器上有足够的空间,否则Cilium pods 将处于pending 状态,并在事件1 node had taints that the pod didn't tolerate 中出现此错误。

    【讨论】:

      猜你喜欢
      • 2019-01-28
      • 2019-12-31
      • 2022-11-03
      • 1970-01-01
      • 1970-01-01
      • 2021-08-29
      • 2020-02-08
      • 2015-08-21
      • 2019-05-02
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode