开发者社区> 问答> 正文

Kubernetes pod级别限制从AWS EKS节点访问其他EC2实例

我在EC2实例上运行了一个Elastic搜索数据库。连接到Elastic DB的后端服务正在AWS EKS节点上运行。

为了让后端kubernetes pod访问Elastic DB,我将允许的安全组添加到EKS节点,它运行正常。

但我的问题是,由于底层节点安全组,在同一节点中运行的所有其他pod(不是后端的)都可以访问Elastic DB,是否有更好的安全方法来处理这个问题。

展开
收起
k8s小能手 2019-01-09 14:32:17 3624 0
1 条回答
写回答
取消 提交回答
  • 整合最优质的专家资源和技术资料,问答解疑

    在这种情况下,您可以使用额外的Kubernetes`网络策略来定义规则,这些规则指定允许来自所选容器的Elastic DB的流量。

    例如,首先在所有pod的名称空间中创建默认拒绝所有出口流量策略,如下所示:

    apiVersion: networking.k8s.io/v1
    kind: NetworkPolicy
    metadata:
    name: default-deny
    spec:
    podSelector: {}
    policyTypes:

    • Egress
      并允许从TCP端口5978上的特定pod(保留角色:db)到CIDR 10.0.0.0/24的传出流量

    apiVersion: networking.k8s.io/v1
    kind: NetworkPolicy
    metadata:
    name: test-network-policy
    namespace: default
    spec:
    podSelector:

    matchLabels:
      role: db

    policyTypes:

    • Egress
      egress:
    • to:

      • ipBlock:

        cidr: 10.0.0.0/24

        ports:

      • protocol: TCP
        port: 5978
    2019-07-17 23:25:00
    赞同 展开评论 打赏
问答排行榜
最热
最新

相关电子书

更多
ACK 云原生弹性方案—云原生时代的加速器 立即下载
ACK集群类型选择最佳实践 立即下载
企业运维之云原生和Kubernetes 实战 立即下载

相关镜像