这是一个创建于 1739 天前的主题,其中的信息可能已经有所发展或是发生改变。
Kubernetes 的服务有两种,其中 NodePort 服务原本就是用来暴露给外部的,API 已经加上了鉴权,所以不考虑安全性问题;还有一些是 ClusterIP 服务,这原本是供内部使用的,所以防护可能较弱
考虑这样一个场景:一个集群内有两类 ClusterIP 服务,一类是核心服务,另一类是出租的容器资源,需要禁止出租容器访问核心服务
另一种情况是,有两个不同的 Kubernetes 命名空间,要使两个命名空间的 ClusterIP 服务不能互访
考虑这样一个场景:一个集群内有两类 ClusterIP 服务,一类是核心服务,另一类是出租的容器资源,需要禁止出租容器访问核心服务
另一种情况是,有两个不同的 Kubernetes 命名空间,要使两个命名空间的 ClusterIP 服务不能互访
3 条回复 • 2020-02-14 22:42:34 +08:00
 |
1
tuxz 2020-02-14 17:48:18 +08:00
可以考虑 istio
|
 |
2
Archangel_SDY 2020-02-14 17:57:44 +08:00  1
Application 层面的不管,Network 层面的有 Network Policy, 取决于你的 Network Plugin 是否支持.
|
 |
3
dreamusername 2020-02-14 22:42:34 +08:00
二楼都说了,就是那样
|
Select Language