我正在运行Kubernetes 1.9.6和Weave Net 2.4.0。我正在尝试锁定对Kubernetes内部DNS服务器和另一台主机上的特定端口的访问。我似乎找不到适合出口的格式。我知道下面的策略不是有效的,但它代表了我想要做的事情。我如何编写网络策略来支持这一点?
浏览 2提问于2018-08-14得票数 3
我有一个带有Calico网络覆盖的Kubernetes集群。如何配置网络策略对象以防止豆荚连接到节点上的端口10250 (kubelet )?ipBlock: except: ingress:不过,这并不是专门阻止端口它阻塞到节点的所有出口连接,这也会阻止集群中运行的应用程序服务之间的通信。是否有一种方法仅</e
浏览 0提问于2018-06-04得票数 0
1回答
我有在K3s中运行的应用程序,并且希望仅基于命名空间实现网络策略。
假设我当前有三个名称空间A、B和C。我想允许namespace-A的出口(从pod到互联网的外部调用),而其余的namespace[B & C]出口呼叫应该被阻止/拒绝。这在Kubernetes网络策略(而不是calico或cilium)中是可能的吗?
浏览 9提问于2021-07-06得票数 1
我很好奇,你们是用什么来过滤Kubernetes上的豆荚出口流量。 我正在GKE上运行K8s集群,并且已经在使用(calico)网络策略对入口和出口流量进行防火墙。现在我遇到了一种情况,我们需要访问一个运行在akamais边缘网络“后面”的外部api。与api的连接是使用URL建立的,并且DNS解析会不断变化。在我的网络策略中没有固定的ip可以用来允许访问。使用所有akamais ip</e
浏览 15提问于2019-05-21得票数 0
3回答
我需要为我的pod创建一个,它需要从网络方面访问,只需要访问集群之外的一个特定端点,只访问这个端点。然而,当我应用网络策略时,我和我尝试ping google.com,我得到了ping: badname: test-network-policyspec: matchLabels:
浏览 15提问于2022-02-09得票数 2
回答已采纳
1回答
我是Kubernetes的新手,我需要在网络策略中添加一些规则:
允许流量进入互联网。最后,如何使用Kubernetes java库编写此策略?
浏览 1提问于2018-05-22得票数 0
回答已采纳
我们还使用kubernetes网络策略来限制进出pods的流量。
我无法确定允许在出口策略中使用哪些ip范围来使stackdriver日志记录正常工作。当我允许所有目的地时,日志正在工作,但我想缩小一点范围……
浏览 1提问于2019-08-07得票数 1
我有一些正在运行的豆荚,它们通过Kubernetes服务相互交谈,而不是通过pod服务,现在我想使用网络策略锁定一些东西,但我似乎无法正确地获得出口。不幸的是,这破坏了我的ping:但是,如果我检索到pod的ip (使用kubectl get po -o wide)并直接与前端对话/metadata.name: "kube-system"
podSelector
浏览 8提问于2022-11-09得票数 1
回答已采纳
我正在K3s上为我的应用程序实现kubernetes网络策略。我希望允许egress (从pod到internet的外部调用)用于端口443,即https调用only,并拒绝/阻止80端口上的所有出口调用,即http。简而言之,允许https出口调用,并拒绝http出口调用。但是,当我不应用此网络策略时,相同的wget命令正在工作&给出以下结果来自相同的结束符:
浏览 16提问于2021-07-06得票数 1
回答已采纳
我正在使用GKE,我想编写一些网络策略,但是一旦我添加了以下策略,我就会得到这个错误:当我删除策略时,一切都正常。
浏览 13提问于2022-07-25得票数 2
回答已采纳
我在亚马逊网络服务中有我的K8s设置(Pods、B和C)和弹性缓存(“xxx.xxxx.xx.cache.amazonaws.com”)。现在,我所有的pod都可以访问弹性缓存。除了阻止Pods和C之外,我还可以允许A与xxx.xxxx.xx.cache.amazonaws.com进行通信吗? PS: Elastice缓存不是驻留在k8s集群中的东西。
浏览 21提问于2020-04-23得票数 0
回答已采纳
我允许我的MongoDB Atlas集群被任何人访问(0.0.0.0/0),从而使调试变得更容易。领导在我的VPC网络中添加一个新的gc
浏览 6提问于2020-01-19得票数 3
在容器/Kubernetes环境中学习SELinux策略时,我意识到还有其他层的控件与SELinux重叠。获得什么附加值?例子如下:
SELinux将标签应用于主机上的容器和对象(主机这里是指运行容器的底层主机),以允许或拒绝两者之间的操作(例如读/写)。SELinux缺乏对网络控件和Linux功能的控制。维护粒度SELinux策略也很繁琐,因此建议我们使用Udica作为扩展。但是,Kubern
浏览 0提问于2022-08-24得票数 1
回答已采纳
1回答
仅启用出口网络策略时,所有就绪和活跃性检查都会在pods重启后失败。kubelet,活动探测失败: Get http://10.202.158.105:80/health/live:拨号tcp 10.202.158.105:80: connect:连接被拒绝 如果我禁用这些策略如果pod在应用网络策略之前已经处于健康状态,它将继续工作。我还尝试使用此策略将每个名称空间列入白名单: apiVers
浏览 28提问于2020-10-16得票数 3
1回答
我创建了一个新的kubernetes命名空间,并将服务部署在那里。为此,我部署了一个网络策略,拒绝所有出口:kind: NetworkPolicy name: default-deny这是可行的,但它完全阻挡了所有出口。有没有一种方法可以隔离服务,而不需要找出CosmosDB和App的所有IP地址,并显式地允许它们?我们在Kubernetes<
浏览 0提问于2022-10-03得票数 0
8888 app: "config" loadBalancerIP: ""
由于LoadBalancer类型,该服务在公共网络上是可访问的
浏览 12提问于2022-03-26得票数 0
回答已采纳
1回答
我正试图为我的应用程序编写一些网络策略,但是一旦添加策略,数据库连接就会失败。
这里说MySQL代理使用端口TCP:3307和443 。因为Cloud代理通过没有固定IP地址的域名sqladmin.googleapis.com调用API,所以必须允许端口443上的所有出口TCP连接。如果客户端计算机有出站防火墙策略,请确保它允许向云SQL实例的IP上的端口3307
浏览 3提问于2022-07-22得票数 0
回答已采纳
本地登录可以正常工作,但在Kubernetes上运行时,我收到以下错误: at org.sonar.plugins.ldap.LdapRealm.init(LdapRealm.java:63)
我有点不确定如何打开从Kubernetes
浏览 0提问于2018-10-04得票数 1
我在GCP中运行Kubernetes,我在单独的项目中拥有GKE集群和容器注册中心。我将GKE服务帐户添加到我的GCR项目中,一切都很好。
现在,我想在计算级别限制来自我的GKE项目的任何传出流量。我增加了一个出口防火墙规则,以减少任何流量从我的VPC网络。因此,GKE无法再从注册表中提取图像。我添加了另一个防火墙规则以允许GKE服务帐户的出口流量,但要使其正常工作,我必须添加"0.0.0.0/0所有端口“作为目标筛选器。有更好的方法吗?GCR是否有
浏览 12提问于2017-12-15得票数 0
回答已采纳
我正在使用下面的NetworkPolicy来允许HTTP和HTTPS端口上的出口,但是当应用网络策略时,运行wget https://google.com不能工作。域名被解析(DNS出口规则有效),但连接到外部主机超时。
我曾经尝试过用纤毛和蓝色在Azure上使用-npm,以防网络策略控制器有些古怪,但在这两种情况下的行为都是相同的。我很困惑,因为我对DNS出口使用了相同的方法(
浏览 2提问于2019-01-30得票数 2
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
腾讯会议
云直播活动推荐
腾讯云开发者
