1回答
如果我有Kubernetes服务(集群IP,端口12345),后面有三个pod作为命名空间中的端点(端口16789),那么在网络策略中应该将什么列入白名单,仅仅是服务端口、端点端口还是DNS端口?网络策略只能将pod/命名空间标签作为选择器,不能将服务标签作为选择器。从documentation中还不清楚这一点。正在尝试从不同的命名空间访问服务。该环境使用Calico作为CNI。
浏览 27提问于2019-04-05得票数 0
我正在为自己的poc使用GKE免费帐户: 以下是网络策略yaml: apiVersion: networking.k8s.io/v1metadata: ingress: - podSelector: abc: granted 下面是podyaml: apiVersion: v1metadata:
creation
浏览 26提问于2021-01-23得票数 1
3回答
几天后,我试图找到一种方法来阻止基于规则的pod之间的连接,我找到了Network Policy。但它在Google Cloud Platform和Local Kubernetes上都不适用于我!我的脚本非常简单,我需要一种方法来阻止基于规则(例如命名空间、工作负载标签等)的pod之间的连接。乍一看,我认为will对我来说是有效的,但我不知道为什么它在Google Cloud上不起作用,即使我从头开始创建了一个集群,并启用了“网络策略”选项。
浏览 20提问于2021-04-21得票数 1
考虑到这一点,我有一个关于k8s中的k8s资源的问题。在创建NetworkPolicy时,使用podSelector来确定网络策略应用于哪个pod(s)。难道"serviceSelector“的概念不是更一般/更抽象,更好地反映出策略真正允许的访问吗?有什么原因我不知道为什么网络策略被“应用”到豆荚与服务?
浏览 0提问于2021-03-07得票数 0
回答已采纳
2回答
我正在使用kubernetes集群连接Nodejs app和mongodb。我希望确保mongo POD仅与Nodejs POD通信,并拒绝任何其他POD流量。当我应用默认拒绝策略,然后按应用程序应用允许策略时,该策略不起作用。kind: NetworkPolicymetadata:
浏览 9提问于2021-01-24得票数 1
Kubernetes文档展示了如何将网络策略应用于由pod选择器或命名空间选择器指定的源。我可以指定一个同时满足两个约束的源吗?
浏览 0提问于2018-09-05得票数 3
回答已采纳
在我们的EKS Kubernetes集群中,我们有一个禁止所有流量的通用calico网络策略。然后,我们添加网络策略以允许所有流量。我们的一个ipBlock需要与Kubernetes API通信,但除了非常广泛的pod选择器之外,我似乎无法与其他任何通信相匹配。还有没有别的办法呢?NetworkPolicy name: test-network-policy podSelector:
matchLabel
浏览 1提问于2020-10-11得票数 2
我正在尝试创建一个Kubernetes网络策略来阻止pod连接到互联网。pod应该只能访问本地网络10.0.0.0/8。使用Kubernetes documentation,我部署了一个拒绝所有出口流量的网络策略,并将其应用于所有pod。但是,当我执行到pod中时,我仍然能够在互联网上执行curl命令。NetworkPolicy name: default-deny
浏览 63提问于2021-10-30得票数 1
回答已采纳
我是Kubernetes的新手,正在尝试学习calico网络。我遵循此文档(),并尝试为在后端到客户端之间流动的流量创建网络策略:apiVersion: networking.k8s.io/v1 namespacerole: backend - protocol: TCP我完成了文档中的所有10个步骤,并尝试通过创建一个策略进行测试,该策
浏览 1提问于2018-10-02得票数 0
是否可以在Kubernetes中应用许多网络插件?如果可以,在创建Pod时将使用哪个网络插件?我找到了一个可能相关的函数来解决我的疑问:。通过这个函数,我认为可以在Kubernetes中应用许多网络插件,在创建Pod时,Kubernetes将按照网络插件的字母顺序应用第一个网络插件。是对的吗?
浏览 6提问于2017-06-16得票数 0
我想添加节点选择器应该存在于pod中的策略。我让下面的代码不能解决这个问题,因为它不能得到想要的输出。package kubernetes.admissioninput.request.kind.kind == "Pod"not count(input.request.object.spec.nodeSelect
浏览 23提问于2021-10-04得票数 0
假设我在Kubernetes中定义了一个名为my-backend的Service。我想拦截发送到此服务的每个请求,正确的方法是什么?例如,同一命名空间下的另一个容器通过发送请求。
浏览 0提问于2020-01-27得票数 2
伙计们,我对openshift非常陌生,我已经部署了Azure Redhat Openshift集群,并且可以作为管理员访问web控制台。现在,我的要求是实现DNSConfig和Ingress/ requirement。请有人解释一下,这些是什么,以及我们如何将它们实现到部署在Azure openshift控制台中的演示应用程序中。提前谢谢。
浏览 1提问于2020-10-21得票数 1
回答已采纳
使用k8s网络策略或calico时,我只能将这些工具用于pod到pod集群网络策略。我已经有了外部群集策略的网络规则。是否可以仅在pod到pod之间应用此规则?
浏览 4提问于2020-03-04得票数 0
如果Kubernetes pod定义为启用了主机网络,是否可以使用应用程序选择器从Service资源访问在此pod上运行的应用程序?
浏览 21提问于2020-01-15得票数 1
回答已采纳
我有一些正在运行的豆荚,它们通过Kubernetes服务相互交谈,而不是通过pod服务,现在我想使用网络策略锁定一些东西,但我似乎无法正确地获得出口。- to: matchLabels:正如您所看到的,没有什么特别的;没有端口,没有命名空间选择器,只有一个标签选择器为每个荚。更糟糕的是:这也破坏了通过pod进行的通信。
我正在运行Azure Kubernete
浏览 8提问于2022-11-09得票数 1
回答已采纳
我有一个kubernetes集群和一个master和一个worker,我让DB服务postgres运行一个名称空间"PG“,我让另一个服务config-server在默认名称空间中运行,并且我无法从默认名称空间中的config-server服务访问postgres 根据我读过的文章,Kubernetes1.13版本覆盖网络-calico如果pod没有定义任何网络策略,那么pod可以不受任何限制地到达任何其他名称空间pod,需要帮助如何实现它
浏览 41提问于2019-06-18得票数 0
回答已采纳
我正在尝试在Google Cloud Kubernetes引擎中部署我的应用程序;它由后端(在Node.JS中)和一个数据库(MongoDB)组成。但是,当在GCP上部署它时,我的应用程序接口无法连接,并且在检查应用程序接口的pod日志后,我看到了MongoDB :: connection error: MongoTimeoutError: Server
浏览 42提问于2019-12-30得票数 0
我有两个网络策略(一个带有pod选择器app=db,另一个带有app=proxy),而且我有一个用来应用这两个网络策略,pod配置不允许有两个具有相同键应用程序的不同标签。在这种情况下,我如何在不修改任何网络策略的情况下做到这一点?
浏览 1提问于2021-06-14得票数 1
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
腾讯会议
云直播活动推荐
腾讯云开发者
