Điểm:1

Chính sách mạng Calico trong Kubernetes dựa trên Tên miền & Ký tự đại diện

lá cờ ar

Tôi có một ứng dụng đang chạy với bộ điều phối kubernetes. Tôi muốn triển khai chính sách mạng calico dựa trên tên miền hoặc ký tự đại diện để tên miền (FQDN/DNS) có thể được sử dụng để cho phép truy cập từ một nhóm hoặc tập hợp các nhóm (thông qua bộ chọn nhãn).

tôi tình cờ gặp tài liệu vải hoa nói điều tương tự, nhưng không chắc cái này miễn phí hay trả phí? Ai đó có thể xác nhận điều này? tôi cũng có thể lấy ví dụ về điều này ở đâu?

Điểm:1
lá cờ in

chính sách DNS là một tính năng trả phí vì nó là một phần của Calico Enterprise và Calico Cloud. Bạn có thể kiểm tra cái này đây.

So sánh đầy đủ các tính năng giữa mã nguồn mở calico, đám mây và doanh nghiệp

Đối với các ví dụ, thường rất khó để tìm các ví dụ hoạt động cho các sản phẩm trả phí, tuy nhiên, tôi đã tìm được ví dụ đơn giản về giao diện của nó:

apiVersion: projectcalico.org/v3
loại: GlobalNetworkPolicy
metadata:
  tên: security.allow-external-dns-egress
thông số kỹ thuật:
  lớp: bảo mật
  bộ chọn: 'projectcalico.org/namespace == "dev" && app == "centos"'
  thứ tự: 90
  các loại:
    - Đi ra
  đi ra:
  - hành động: Cho phép
    giao thức: UDP
    nguồn: {}
    điểm đến:
      cổng:
      - '53'
      # cổng dns openshift
      - '5353'
  - hành động: Cho phép
    nguồn:
      bộ chọn: ứng dụng == 'centos'
    điểm đến:
      tên miền:
      - '*.google.com'
      - 'google.com'
  # quy tắc này chỉ cần thiết nếu không có chính sách nào chuyển tất cả lưu lượng truy cập chưa từng có sang cấp sau
  # - hành động: Vượt qua
  #   nguồn: {}
  #   điểm đến: {}

Liên kết đến ví dụ này ở trên trong Calico github

Ý tưởng là không cho phép bất kỳ lưu lượng truy cập nào vào bất kỳ miền nào, nhưng google.com

Nó cho thấy nó sẽ hoạt động như thế nào trong ví dụ.

solveit avatar
lá cờ ar
ví dụ này có hoạt động không vì nó thuộc gói doanh nghiệp? Tôi muốn triển khai chính sách mạng dựa trên miền bằng CIDR, bạn nghĩ Kubernetes DNSSelector [ https://github.com/kubernetes/kubernetes/issues/50453 ] có thể trợ giúp không?
moonkotte avatar
lá cờ in
Điều này sẽ hoạt động nếu bạn sử dụng doanh nghiệp calico, không có tùy chọn nào khác để thực hiện công việc này như thế này. Ngoài ra, đối với trạng thái cuối cùng, họ đã đề xuất sử dụng `calico cni` cho điều này - xem [bình luận này](https://github.com/kubernetes/kubernetes/issues/50453#issuecomment-368334028)
solveit avatar
lá cờ ar
Làm thế nào về dịch vụ Kubernetes DNS https://kubernetes.io/docs/concepts/services-networking/dns-pod-service/ để kiểm soát các cuộc gọi đầu ra? Với một số máy chủ dns mà tôi có thể tích hợp với k3s và sử dụng dịch vụ này?
moonkotte avatar
lá cờ in
Đây là một câu hỏi khác và bạn nên cân nhắc hỏi riêng câu hỏi này để tuân thủ các nguyên tắc của StackExchange. Vui lòng tham khảo [Một bài đăng có nhiều câu hỏi hay nhiều bài đăng?](https://meta.stackexchange.com/questions/39223/one-post-with-multiple-questions-or-multiple-posts)

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.