2018-11-14job,cronjob这类计算型pod不需要也不应该对外提供服务,可以拒绝所有流入流量,提高系统安全。作者回复: 对
24
2018-12-17张大请教一下;本来kube-proxy就会写大量的iptables规则,如果网络情况复杂,实施的networkpolicy又多的话,那么iptables会不会成为比较大的瓶颈,有什么好的解决方案吗? 1 5
2018-11-29hi,老师:请问我安照k8s官网拒绝所有进出流量,为什么该pod还是能ping通外部的ip呢? 1
2018-11-14iptables -A FORWARD -d $podIP -m physdev --physdev-is-bridged -j KUBE-POD-SPECIFIC-FW-CHAIN
文中提到,上面这条iptables规则的作用是:“拦截”在同一个宿主机、接入同一个bridge上的容器发送过来的数据包。
iptables设置的是IP包被过滤处理的规则,而bridge是二层设备,数据包在bridge上的流动,如果受到上面规则的控制,就是说iptables还能设置二层链路的过滤规则?展开作者回复: 文中提了,实际有ebtables的参与
1
2018-11-14apiVersion: extensions/v1beta1
kind: NetworkPolicy
metadata:
name: my-network-policy
namespace: my-namespace
spec:
podSelector: {}
policyTypes:
- Ingress
我只能想到一种情况:随机数生成器,因为要保证产生的随机数不受任何干扰,所以可以禁掉所有内网访问,只要把产生的结果发送出去就可以。展开 1
2018-11-14apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: deny-all-policy
namespace: my-namespace
spec:
podSelector: {}
policyTypes:
- Ingress
可以做访问策略,我理解成可以是区域隔离。展开 1
2018-11-14老师您好,请教一个问题,我在阿里云测试环境部署的高可用集群,部署的时候关闭了iptables service,后来尝试开启,但是遇到容器内无法跟kubernetes 的cluster通信的问题。我看了/etc/sysconfig/iptables的配置,input配置的是drop,然后开放一些常用端口和所有内网ip,不知道应该如何排查了 1
2020-02-02纯计算类型的pod,不对外暴露任何服务,比较适合拒绝网络请求
2019-11-23k8s的网络配置的前提是:你的物理基础设施已经就绪
2019-07-27任何 Namespace 里的、携带了 project=myproject 标签的 Pod; namespaceselector应该是选择namespace的吧,project=myproject这个标签应该是匹配namespace的而不是匹配pod的,所以上面那个解释应该是携带了project=myproject 标签的所有namespace下的所有pod 不知道这个理解是否正确
2019-05-14老师你好,我想确认下基于ovs的网络,是不是不用iptables了,使用openflow实现networkpolicy,使用vni实现多租户,谢谢。作者回复: iptables 在svc还会用到
2019-02-01[BGP 消息]
我是宿主机 192.168.1.2
10.233.2.0/24 网段的容器都在我这里
这些容器的下一跳地址是我
和老师确认一下对应图例10.233.2.0/24应该是10.233.1.0/24吧展开
2019-01-26流入容器的数据包都是经过路由转发(FORWARD 检查点)来的。 看看那张iptables的图,经过forward节点的数据不都流向外界了吗?怎么还会转发给本机的容器呢?
2019-01-22大量iptable处理带来的性能损失怎样,有数据或者经验性的结论吗?
2018-12-30谢谢iptables方面的讲解,深化之前的理解。
forward的功能一般是用在网关中?主要是做转发的?- 2018-11-16假如需要限制的是集群外的某个资源,比如阿里云上的rds数据库,并没有固定的IP地址。是不是可以把访问地址创建成endpoint对象放在特定的namespsce下,然后在egress中配置允许访问这个namespace?
2018-11-15老师,什么时候讲ingress?作者回复: 很快
2018-11-14不是kubecon么,洗个澡就更新了