网络策略不适用于守护pod
网络策略是 Kubernetes 中用于控制网络流量的一种机制。它可以限制 pod 之间的通信,以增强集群的安全性。然而,网络策略对于守护型 pod(DaemonSet)并不适用。
守护型 pod 是一种在每个节点上运行的 pod,通常用于在集群中运行一些系统级任务或服务。由于守护型 pod 部署在每个节点上,它们可以在不同的节点上同时运行,并且可以与其他 pod 相互通信。因此,在守护型 pod 的情况下,网络策略对于限制它们之间的通信并不适用。
由于网络策略不适用于守护型 pod,如果需要对守护型 pod 进行访问控制或流量限制,可以考虑以下方法:
- 节点级别的防火墙:通过配置节点级别的防火墙规则,可以限制守护型 pod 的网络访问。这可以在节点上使用诸如 iptables 等工具来实现。
- 网络插件的支持:某些网络插件提供了对守护型 pod 的网络策略支持。例如,Calico 网络插件可以通过配置网络策略规则来限制守护型 pod 之间的通信。
- 使用专用的网络隔离机制:根据实际需求,可以使用专门的网络隔离机制来限制守护型 pod 的网络访问。例如,使用虚拟局域网(VLAN)或虚拟专用网络(VPN)等技术。
总结:网络策略在 Kubernetes 中是一种用于控制网络流量的机制,但对于守护型 pod 并不适用。如果需要对守护型 pod 进行访问控制或流量限制,可以考虑使用节点级别的防火墙、网络插件的支持或专用的网络隔离机制来实现。
相关·内容
1回答
网络策略不适用于守护pod
、、、、
网络策略是否适用于守护的pods?对于所有pod的所有入口和出口,我都有一个默认的拒绝网络策略。然而,它似乎不适用于属于守护线虫的豆荚。
浏览 32提问于2021-07-22得票数 0
回答已采纳
我在所有命名空间中的所有pod上都有一个默认情况下拒绝所有的策略。如果允许全部添加到某个命名空间中某个pod中,会发生什么情况?什么将被优先考虑?在梳理多个策略时,是否存在与/或逻辑?
谢谢
浏览 0提问于2018-05-19得票数 3
我对全球网络政策的这种行为感到困惑。请执行以下操作。protocol: UDP ports: ingress:当我在"test“命名空间中执行从一个pod到另一个pod的wget时,它显然可以解析dns,但不会返回包:Connecting to nginx-test群集上没有其他策略,尤其是没有默认拒绝<
浏览 4提问于2021-01-14得票数 0
如果docker镜像中有更新,滚动更新策略将逐个更新守护启动中的所有pod,同样,是否可以在不更改守护启动配置的情况下正常重启pod,或者是否可以显式触发?目前,我是通过以下方式手动完成的
逐个运行,直到每个pod进入kubectl delete pod <pod-name>状态。
浏览 5提问于2018-10-18得票数 1
我确实遇到过这样的情况,我在同一个命名空间中有3个pod。让我们称它们为aaa、bbb和ccc。同时,在这两个中的每一个中都设置了NetworkPolicies来接受和转发流量,假设aaa的netpol是npa,bbb的are是npb 我的问题是,通过仅配置pod和现有网络策略,我如何才能允许ccc
浏览 16提问于2020-08-03得票数 1
使用k8s网络策略或calico时,我只能将这些工具用于pod到pod集群网络策略。我已经有了外部群集策略的网络规则。是否可以仅在pod到pod之间应用此规则?
浏览 4提问于2020-03-04得票数 0
我正在尝试创建一个Kubernetes网络策略来阻止pod连接到互联网。pod应该只能访问本地网络10.0.0.0/8。使用Kubernetes documentation,我部署了一个拒绝所有出口流量的网络策略,并将其应用于所有pod。但是,当我执行到pod中时,我仍然能够在互联网上执行curl命令。NetworkPolicy name: default-deny-egress
s
浏览 63提问于2021-10-30得票数 1
回答已采纳
我有一个连接到守护节点的pod,它还包含几个容器。我想要更新pod内的容器镜像。因此,我很想知道重新启动守护程序是否可以完成这项工作(因为映像拉取策略当前设置为always),并且重新启动守护程序是否会拉出新的更新映像。这是做这些事情的正确方式吗?谢谢。
浏览 8提问于2021-09-30得票数 0
允许运行在相同/不同名称空间中的两个吊舱(如pod和B)与应用的有效网络策略一起通信,而不管协议(例如http、https、akka.tcp)。解决方案尝试:
尝试将网络策略应用于两个吊舱,并使用服务名称“my-svc.my-name pace.svc.cluster.local”使pod与正在运行服务“my-svc”但都无法通信的pod通信此外,还尝试在pod B中添加pod A的IP地址和主机映射,
浏览 3提问于2019-09-19得票数 9
3回答
几天后,我试图找到一种方法来阻止基于规则的pod之间的连接,我找到了Network Policy。但它在Google Cloud Platform和Local Kubernetes上都不适用于我!我的脚本非常简单,我需要一种方法来阻止基于规则(例如命名空间、工作负载标签等)的pod之间的连接。乍一看,我认为will对我来说是有效的,但我不知道为什么它在Google Cloud上不起作用,即使我从头开始创建了一个集群,并启用了“网络策略”选项。
浏览 20提问于2021-04-21得票数 1
2回答
有一个项目从遗留迁移到GCP。在GCP上,一切都运行在微服务上。可能在40-50微克左右。我想自动化这个微服务,但在这个项目中没有公开的端点。在没有端点的情况下,如何自动化微服务?您可以使用哪种类型的架构来测试这一点?Db: Firestore (nosql)
浏览 1提问于2020-06-12得票数 0
2回答
我希望确保mongo POD仅与Nodejs POD通信,并拒绝任何其他POD流量。当我应用默认拒绝策略,然后按应用程序应用允许策略时,该策略不起作用。kind: NetworkPolicymetadata: namespace: default podSelector:
浏览 9提问于2021-01-24得票数 1
default-token-q2qm7"
Normal SandboxChanged 1m kubelet, docker-for-desktop Pod
浏览 21提问于2018-08-14得票数 9
回答已采纳
我想拒绝容器访问公共互联网。apiVersion: networking.k8s.io/v1metadata:spec: matchLabels: policyTypes: egress: - port: 53 - port: 53 t
浏览 3提问于2020-01-30得票数 0
1回答
我有一个具有应用k3s策略的系统荚的calico集群:kube-systempod/calico-kube-controllers-xxxxxx kube-system pod/local-path-provisioner-xxxxxkube-system
浏览 6提问于2021-09-02得票数 1
回答已采纳
我正在一个小型Kubernetes集群上测试Calico项目,我试图找出在“全局策略”和“网络策略”之间的哪一个项目将首先应用于数据流。我的理解是:
我做了很多测试,但有时全局网络策略优先于网络策略
浏览 5提问于2021-04-08得票数 2
我的守护神: apiVersion: apps/v1metadata: namespace: node-installer # Update and install packages apt-get install nfs-kernel-server -y 让pod构建并完成(x3),当我检查它们的日志时,只有第一个pod的日志显示了安装在节点上的包。其余的pod根本没
浏览 44提问于2020-08-25得票数 0
192.168.1.139)
[~pod192.168.1.138但是,如果我从1号吊舱(运行在1.137上)击打1.137,它就成功了:
[~pod
浏览 1提问于2019-09-19得票数 0
k8s_POD_kube-apiserver-nuc-master_kube-system_f85b0ee34972b60b88f4baf141d51a32
浏览 5提问于2021-06-06得票数 0
internal Ready <none> 7h46m v1.19.6-eks-49a6c0由于某些原因,亚马逊网络服务
浏览 2提问于2021-03-16得票数 3
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
腾讯会议
实时音视频活动推荐
腾讯云开发者
