如何在Kubernetes中禁止从pod ip访问容器端口
默认情况下,Kubernetes允许pod使用pod IP访问其他pod。
我有2个pods. Pod1和Pod2. Pod1有一个mysql服务器和一个PHP应用程序. Pod2有一个php应用程序. Pod1 ip174.17.0.4,在Pod2中php应用程序可以从地址174.17.0.4:3306访问mysql服务器。
Pod1和Pod2是两种不同的应用程序。Pod2和Pod1没有关系。所以我担心的是,如果Pod2遭到黑客攻击,黑客可以扫描网络并暴力攻击Pod1 mysql服务器。
如何禁止从pod1外部访问mysql端口3306?
共有2个答案
声明网络策略的第一步是安装具有网络策略支持的网络提供程序。有关更多信息,请点击此链接。当我使用Minikube时,我安装了Cilium。点击此链接了解如何安装它。并确保硬盘驱动器上有足够的空间,否则 Cilium Pod 将处于挂起状态,并在事件 1 节点中出现此错误,该节点具有 Pod 无法容忍的污点。
如果您的集群设置支持Net工作策略资源,您可以查看网络策略。有了它,您可以将特定的入口和出口策略设置到特定的pod。
-
问题内容: 我在Docker中使用Ubuntu容器运行Gentoo主机。他们通过Docker自动创建的网桥进行通信。我想丢弃可能来自容器的192.168.0.0/16的所有流量。 如果需要提供其他信息,请告诉我 问题答案: 一种选择是使用docker运行,以防止任何容器与其他容器通信,然后您可以通过将容器与链接来使它们彼此通信。但是,这此时不会阻止容器与主机进行通信。 您也可以按照以下规则使用ip
-
问题内容: 我有一个运行詹金斯的码头集装箱。作为构建过程的一部分,我需要访问在主机上本地运行的Web服务器。是否可以将主机Web服务器(可以配置为在端口上运行)暴露给jenkins容器? 编辑:我正在Linux机器上本地运行docker。 更新: 除了下面的@larsks答案之外,要从主机获取主机IP的IP地址,我还要执行以下操作: 问题答案: 在Linux上本地运行Docker时,您可以使用接口
-
我有一个docker容器在运行Jenkins。作为构建过程的一部分,我需要访问在主机上本地运行的web服务器。有没有一种方法可以将主机web服务器(可以配置为在端口上运行)公开给jenkins容器? 编辑:我正在Linux机器上原生运行docker。 更新: 除了@larsks下面的答案之外,要从主机获取主机IP的IP地址,我还做了以下操作:
-
不同的业务应用场景,会有完全不同的非法终端控制策略,常见的限制策略有终端 IP 、访问域名端口,这些可以通过防火墙等很多成熟手段完成。可也有一些特定限制策略,例如特定 cookie、url、location,甚至请求 body 包含有特殊内容,这种情况下普通防火墙就比较难限制。 Nginx 是 HTTP 7 层协议的实现者,相对普通防火墙从通讯协议有自己的弱势,同等的配置下的性能表现绝对远不如防火
-
问题内容: 我希望我的控制器在用户没有权限查看特定页面时返回正确的HTTP响应代码。 问题答案: 匆匆 如果您使用的是普通JSP视图(最常见),则只需添加 视图文件中的某处。在顶部是一个不错的地方。 详情 在MVC中,我将始终在视图中进行设置,在大多数情况下,对于Spring- MVC,请使用来呈现正确的视图以响应抛出的运行时Exception。 例如:在控制器或服务层中创建一个并将其抛出,并使异
-
我有一个docker集装箱在运jenkins。作为构建过程的一部分,我需要访问在主机上本地运行的web服务器。有没有办法将主机web服务器(可以配置为在端口上运行)公开给jenkins容器? 我在Linux机器上运行docker。 更新: 除了下面的@larsks answer之外,为了从主机获取主机IP的IP地址,我执行以下操作: