Kiểm soát lệnh gọi Đi ra của nhóm kubernetes dựa trên tệp máy chủ trung gian

solveit

13:11, 05/11/2022

Tôi có thể sửa đổi và sử dụng /etc/host.allow file hoặc một cái gì đó tương tự để hạn chế các cuộc gọi đi (đi ra) từ các nhóm kubernetes của tôi. Nếu có tra cứu trung gian xảy ra trong khi thực hiện lệnh gọi đầu ra từ nhóm sang miền bên ngoài (giả sử google.com), thì tôi có thể sử dụng máy chủ.allow loại cấu hình để kiểm soát và hạn chế quyền truy cập của các cuộc gọi đi?
Ví dụ tôi muốn cho phép google.com và chặn gitHub.com.

Ghi chú: Tôi thấy trong các nhóm mặc định của mình, nhóm coredns đã có hình ảnh: người chăn nuôi/coredns-coredns:1.8.3. Tôi hiểu rằng nó được mặc định với k3s.

Tái bút: Tôi đã khám phá calico và chính sách mạng bên ngoài (bên thứ ba) khác nhưng chúng không đáp ứng yêu cầu của tôi.

0 + 2

Hệ Thống Tên Miền

kubernetes

chủ trang trại

Wytrzymały Wiktor

09:52, 06/11/2022

Xin chào @solveit. Bạn đã thử những gì rồi?

Hồi đáp

solveit

10:48, 06/11/2022

1. Trong Calico "Các cuộc gọi đầu ra bị hạn chế dựa trên miền" thuộc Calico-enterprise , được trả tiền 2. Trong cilium, một số phức tạp trong thiết lập cho nhiều cụm so với CNI khác nên không thể sử dụng nó. 3. Không có tính năng tích hợp sẵn như vậy trong chính sách mạng của K3 trong đó các cuộc gọi đi ra có thể bị hạn chế dựa trên miền. Ví dụ: cho phép google.com & chặn gitHub.com. 4. Plugin Coredns ACL https://coredns.io/plugins/acl/#examples dành cho truy vấn DNS chứ không dành cho tên miền, vì vậy không thể sử dụng plugin này. 5. Dịch vụ DNS của K3S cũng không cung cấp bất kỳ giải pháp nào như vậy. Tất cả những điều này tôi đã thử.

Hồi đáp

Phan Văn Trường

Câu hỏi này là trong các ngôn ngữ khác:

EN: Controlling Egress calls of kubernetes pods based on intermediate host file

TH: การควบคุมการเรียกขาออกของพ็อด kubernetes ตามไฟล์โฮสต์ระดับกลาง

RO: Controlul apelurilor de ieșire ale podurilor kubernetes pe baza fișierului gazdă intermediar

RU: Управление исходящими вызовами модулей kubernetes на основе файла промежуточного хоста

VI: Kiểm soát lệnh gọi Đi ra của nhóm kubernetes dựa trên tệp máy chủ trung gian

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.