Kubernetes 只允许出口到internet
我有一个服务站在边缘。这项服务需要通过互联网发送一些东西 我用的是Canal CNIKubernetes 只允许出口到internet,kubernetes,kubernetes-networkpolicy,Kubernetes,Kubernetes Networkpolicy,我有一个服务站在边缘。这项服务需要通过互联网发送一些东西 我用的是Canal CNI 我是否可以定义一个只允许向internet出口,而不允许向集群的其余部分出口的网络策略?类似于以下内容的方法可以工作: kind: NetworkPolicy apiVersion: networking.k8s.io/v1 metadata: name: only-allow-internet spec: policyTypes: - Egress # match all pods in
我是否可以定义一个只允许向internet出口,而不允许向集群的其余部分出口的网络策略?类似于以下内容的方法可以工作:
kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
name: only-allow-internet
spec:
policyTypes:
- Egress
# match all pods in the namespace
podSelector: {}
egress:
- to:
- ipBlock:
# allow all IPs
cidr: 0.0.0.0/0
except:
# except the private IP ranges: https://en.wikipedia.org/wiki/Private_network
- 10.0.0.0/8
- 192.168.0.0/16
- 172.16.0.0/20
它允许所有IP(因为每个IP都匹配0.0.0.0/0
),但IANA定义为私有IP范围的私有IP范围除外
请注意,这也将中断DNS查找,因为默认情况下kubernetes吊舱使用kubernetes内部的DNS服务器。您可以通过在pod内运行以下命令来验证它:
$ nslookup google.com
$ nslookup google.com 8.8.8.8
第一个将超时,而第二个将工作
默认情况下,Kubernetes DNS IP为10.96.0.10
。您可以通过检查pod内的/etc/resolv.conf
来验证它。因此,如果希望DNS查找正常工作,可能需要自定义网络策略
,进一步定义更具体的IP范围以允许DNS查找
或者,您可以在pod定义级别定义DNS。详情如下:
此外,您不能阻止所有私有IP范围,而只能阻止集群pod/服务范围。您可以在
kube-apiserver
参数中找到它们。如何允许internet和其他一些服务?