允许Pods通过网络策略与其他pods通信
Pods是Kubernetes中最小的可部署单元,它是由一个或多个容器组成的。Pods可以通过网络策略与其他Pods进行通信。
网络策略是一种用于控制Pods之间通信的机制。它允许管理员定义规则,以限制哪些Pods可以与其他Pods通信,以及如何进行通信。通过网络策略,可以实现网络隔离、安全性和访问控制。
Pods之间的通信可以通过以下方式进行:
- 同一节点内的Pods通信:在同一节点上的Pods可以直接通过本地网络接口进行通信,无需经过网络策略的限制。
- 跨节点的Pods通信:在不同节点上的Pods通信需要经过网络策略的限制。网络策略可以基于Pod的标签选择器来定义规则,例如允许具有特定标签的Pods之间通信,或者禁止某些Pods之间的通信。
网络策略的优势包括:
- 安全性:网络策略可以限制Pods之间的通信,提供更细粒度的访问控制,从而增强集群的安全性。
- 网络隔离:通过网络策略,可以将Pods划分为不同的网络分区,实现网络隔离,防止不同应用之间的干扰。
- 灵活性:网络策略可以根据实际需求进行配置,可以根据应用的特点和要求,定义不同的通信规则。
- 可扩展性:网络策略可以随着集群规模的增长而扩展,适应不同规模的应用部署。
在腾讯云的Kubernetes服务中,可以使用腾讯云原生容器服务(TKE)来管理Pods和网络策略。TKE提供了一系列功能强大的网络策略管理工具,可以轻松配置和管理Pods之间的通信规则。
更多关于腾讯云原生容器服务的信息,请参考:腾讯云原生容器服务
相关·内容
我有以下任务要执行
isolation)Create 创建了一个名为的名称空间,名为法医学,法医学名称空间中的所有豆荚都不应该能够在世界之外进行通信(egress ,在默认的取证名称空间中命名为调查员的荚,应该只允许从调查人员pod的IP连接。)
我创建了下面的Yaml来做同样的事情。
apiVersion: v1
kind: Namespace
metadata:
labels:
name: forensics
name: forensics
---
apiVersion: v1
kind: Pod
metadata:
labels:
name: forensi
浏览 3提问于2020-06-16得票数 0
假设我有一个EKS集群,具有多个承载不同应用程序的荚。我希望允许从特定应用程序连接到RDS实例,而不允许EKS集群中的所有吊舱连接到RDS。经过一些研究,我发现有一种解决这个问题的网络方法,就是为豆荚创建安全组。但我正在寻找另一种方法。
我本来希望在可能的地方有一个简单的设置:
创建具有读/写权限的,创建IAM角色,并将策略创建服务帐户(IAM和k8s服务帐户)附加到角色中,将服务帐户分配给我希望授予RDS访问权限的pods。
但是这似乎是让IAM认证从荚到RDS的唯一方法,就是每15m持续生成一个令牌。这是唯一的办法吗?
浏览 5提问于2022-03-31得票数 0
kubernetes V19
创建一个名为“允许端口从名称空间”的新NetworkPolicy,该名称空间允许现有名称空间内部的Pods连接到同一名称空间中其他Pods的端口80。
确保新的NetworkPolicy:
不允许访问不在端口80上侦听的Pods,不允许从不在名称空间内部的Pods访问
我需要知道我是否可以做到这一点,而不添加标签到名称空间和豆荚?
浏览 8提问于2020-10-01得票数 1
回答已采纳
我有一个带有两个子域的Cloudflare Tunnel。我需要其中一个是公开的,另一个是被封锁的,如果来源不是我的IP。我创建了一个网络策略,上面写着如果SNI Domain is admin.example.com (这是我需要为if阻塞的子域)和Source IP is not <my ip>,然后是Block。这适用于Source IP部分,但它也从任何其他IP中阻塞了我的另一个子域,因此SNI Domain is admin.example.com没有做我需要的事情。需要改变什么才能起作用?
浏览 0提问于2022-12-11得票数 0
1回答
我一直在尝试尝试使用棉布网络规则,在拒绝了所有的入口和出口规则之后,我发现很难让入口和出口规则与order一起工作。
kubectl get pods --show-labels
NAME READY STATUS RESTARTS AGE LABELS
hello-web3 1/1 Running 0 45m app=foo
hello-web4 1/1 Running 0 45m app=bar
hello-web5 1/1 Running 0
浏览 2提问于2021-04-19得票数 0
回答已采纳
我已经在集群中部署了一个供应商容器,而容器需要连接到internet来验证许可证和其他一些细节。我已经检查了环境,在集群和/或pod级别上没有看到任何现有的网络策略。然后,我为pod命名空间添加了下面的networkpolicy条目,但仍然看到在pods和服务日志中出现了以下错误。
level=fatal msg=“无法连接到许可证服务器”
。
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: allow-ingress-egress
namespace: myappns
spec:
podSel
浏览 1提问于2020-05-16得票数 1
回答已采纳
我想问一下在亚马逊网络服务中连接EC2到RDP的问题。
我已经将我的RDP组(包含EC2实例)添加到默认EC2组中,数据正在流动-连接正常。
EC2安全组启用了端口80到0.0.0.0/0和到我的IP的SSH。
我有点担心,通过将此EC2组添加到RDS数据库,它将允许来自任何地方的80端口流量访问数据库。这是正确的还是错误的?
如果像这样连接RDS实例,EC2中的规则是否适用于RDS实例?
我确实在AWS网站上看到“数据库安全组只允许访问数据库服务器端口”。有人能确认这是正确的吗?
谢谢你
浏览 3提问于2012-10-01得票数 10
回答已采纳
我正在使用Azure Kubernetes服务(AKS),并希望确保特定命名空间中的荚只能接收来自同一名称空间中其他荚的入口流量。
我找到了这个网络策略来实现这个名称空间隔离(从):
kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
namespace: my-namespace
name: deny-from-other-namespaces
spec:
podSelector:
matchLabels:
ingress:
- from:
- podSelector: {}
在我创
浏览 4提问于2021-05-31得票数 2
回答已采纳
当涉及到人际关系时,我被众多的概念和选择所淹没。所以我的问题是:这些kubernetes概念之间的用法和区别是什么?
到目前为止我所发现的:
网络策略的文档非常清楚地描述了这个用法:
您希望在IP地址或端口级别控制流量。
但是网络策略在这里的使用并不一致: Calico是Azure (s. image)中的或Network。
我怀疑Azure在这里用错了词。
但是我仍然不明白模型和插件之间的区别。当然,这是关于管理资源之间的交流。
为什么我需要两个不同的概念和两个配置选项来管理网络流量?
浏览 6提问于2020-11-09得票数 1
回答已采纳
当我们有工作负载抽象和网络机制(Service/kube-proxy/Ingress等)时,为什么我们还需要pods之间的点对点连接呢?在这上面?
默认的CNI是什么?
编辑:我对这个问题感到困惑,因为当我安装Kubernetes时,我感觉我没有安装任何流行的CNI插件。原来Kubernetes缺省为
顺便说一句,我看到Istio和容器网络之间有很多重叠的特性。在我看来,他们可以实现相同的目标。唯一的区别是Istio是高级的,而CNI是低级的,效率更高,对吗?
编辑:有趣的是,istio有
浏览 1提问于2021-09-23得票数 0
我有一个多租户集群,其中多租户通过名称空间实现。每个租户都有自己的名称空间。租户的吊舱不能与其他租户的吊舱交谈。然而,每个租户中的一些豆荚必须使用一个侵入线将一个服务公开到互联网上。
这就是我取得的成就(我正在使用Calico):
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: tenant1-isolate-namespace
namespace: tenant1
spec:
policyTypes:
- Ingress
podSelector: {} # Select all po
浏览 0提问于2018-06-12得票数 8
根据链接,我们可以创建带有多个网络的pods,如果应用程序使用非默认网络(eth2、3等)打开端口,我们如何将其公开为服务?在服务yaml中,除了默认之外,我找不到任何公开服务的方法。
浏览 0提问于2021-08-13得票数 1
我在引擎(GKE)上运行了一个Kubernetes集群,启用了网络策略支持。我为它创建了一个nginx部署和负载均衡器:
kubectl run nginx --image=nginx
kubectl expose deployment nginx --port=80 --type=LoadBalancer
然后,我创建了这个网络策略,以确保集群中的其他豆荚不再能够连接到它:
kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
name: access-nginx
spec:
podSelector:
m
浏览 3提问于2017-11-16得票数 6
回答已采纳
最近在AKS集群上开始使用Calico网络策略。其计划是阻塞新名称空间的所有通信量,但指定给标记为“kube”的coredeDNS吊舱的通信量除外。此策略不应应用于名称空间:默认、kubesystem和calico-system。
用: name=default标记默认命名空间
我从Calico网站上找到了一个例子,并添加了默认的名称空间链接:。但是,该策略也被应用于默认名称空间,而不应该是这种情况吗?我已经标记了默认的命名空间。
apiVersion: projectcalico.org/v3
kind: GlobalNetworkPolicy
metadata:
name: deny-
浏览 1提问于2020-11-25得票数 1
1回答
我想知道如果所有设备都来自内部网络范围,Juniper默认是否允许所有源端口和目标端口。
对于例如,Src-10.10.x.x SrcPrt-任何Des-10.20.x.x DesPrt-23都是默认允许的,或者我们需要ACL策略来允许Juniper SRX系列防火墙中的通信量。
浏览 0提问于2018-01-31得票数 1
回答已采纳
1回答
我有一个Azure Kubernetes集群,使用Azure CNI (虚拟网络)作为网络。群集正在网络的一个子网上运行。
在另一个子网上,我有一个虚拟机运行,因为它有一个10.1.0.4的私有IP。
现在,我在K8S集群中有了一个吊舱,它试图与虚拟机连接。但它不能这么做。
另外,在舱内的ping 10.1.0.4会给出一个超时。
请帮我找出我做错了什么,这样我就可以connect the Pod with the VM了。
浏览 6提问于2022-05-17得票数 0
1回答
在Azure云平台上,我遇到了一个路由问题,需要通过另一个vnet和两个VPN隧道将流量从一个vnet路由到另一个vnet。
下面是对设置的描述:我确实有两个Azure虚拟网络(VNET1和VNET2),每个网络都有自己的基于路由的Azure网关和一个第三方虚拟网络(VNET3),它通过IPsec VPN隧道连接到第一个Azure虚拟网络VNTE1。下面是所有三个虚拟网络的地址空间。
VNET1 10.20.0.0/16 (Azure vnet)VNET2 10.30.0.0/16 (Azure Vnet)vnet 3<code>E 110</代码>10.0.0.0/1
浏览 3提问于2020-02-10得票数 1
回答已采纳
在将SQL部署到子网之后,NSG能否应用到子网中?
在保存时,我们得到了以下错误:
“未能保存子网‘托管-sql-dev-corp’。错误:“发现与NetworkIntentPolicy冲突。详细信息:子网或虚拟网络不能拥有与网络意图策略冲突的资源或属性。”
“网络意图策略”是由Azure Service创建的还是我自己的策略之一?
浏览 0提问于2018-10-22得票数 4
我们正在构建一个基于微服务的平台,该平台由k8s管理,每个用户都可以基于不同的微服务构建应用。如何对不同的应用程序进行隔离,以避免它们之间的伤害有效,网络隔离是可以的还是有更好的解决方案?
浏览 0提问于2017-03-02得票数 0
我已经使用GKE服务在Google Cloud上创建了一个Kubernetes集群。
GCP环境有一个VPC,该VPC使用VPN连接到本地网络。GKE集群是在同一个私有网络下的子网中创建的,比如subnet1。subnet1中的虚拟机能够与内部(专用) ip地址上的本地端点通信。完整子网的网段(10.189.10.128/26)在本地防火墙中被列入白名单。
GKE Pod使用分配给它们的辅助ip地址(10.189.32.0/21)中的ip地址。我在其中一个pods中执行了exec,并尝试访问内部网络,但无法获得响应。当我检查网络日志时,我发现源ip是Pod的IP(10.189.37.18),它
浏览 4提问于2019-05-14得票数 0
昨天,我买了一台新电脑作为我的主页,一台惠普Proliant微型服务器。在上面安装了Arch,内核版本为3.2.12。
安装iptables (1.4.12.2 -当前版本的AFAIK)并将net.ipv4.ip_forward键更改为1,并启用iptables配置文件中的转发(和重新启动)之后,系统无法使用其任何网络接口。Ping失败了
Ping: sendmsg: operation not permitted
如果我完全删除iptables,联网是可以的,但我需要共享到本地网络的Internet连接。
eth0 -万网卡集成在主板上(Broadcom NetXtreme BCM5723)
浏览 0提问于2012-03-24得票数 21
回答已采纳
1回答
我们有一个Kubernetes部署,它需要一个VPN上的应用程序。我们通过在容器中运行openvpn客户机来实现这一要求,该容器具有更高的功能:
securityContext:
capabilities:
add:
- NET_ADMIN
我们希望更好地了解这个问题的影响,以及如果这个容器被破坏,我们会暴露在什么程度上。我们希望确信这个容器中的代码exec不能查看或修改其他容器中的数据包或网络配置,也不能在主机节点上查看或修改数据包或网络配置。
我目前的假设是,由于每个吊舱都有一个独立的网络名称空间,因此将CAP_NET_ADMIN提供给吊舱中的容器只是提供了该名称空
浏览 0提问于2019-06-24得票数 6
1回答
在我们的集群中,我们在单独的节点池中运行两个版本的API。目前,我们在每个版本中的微服务流量都是从pod1 > service1 > service2 > pod2发送的。我想使用一个网络策略来证明我们的API不可能在一个版本的API中与另一个版本进行通信。
下面是我为1.1版本编写的网络策略的一个示例。但是,这似乎阻碍了1.1节点池中的所有通信量。
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: networkpolicy-v1-1
namespace: default
spe
浏览 1提问于2020-07-31得票数 0
1回答
我在openshift中部署了三个微服务。服务A,B,C.A是一个nodejs应用程序,B是一个java应用程序,C又是一个java应用程序。A和B使用路由器向外界暴露。A和B都使用C来使用C的服务URL来处理数据。
以下是琐碎的描述:
A - a.com
B - b.com
C - c.default.cluster.local
A -> C
B -> C
现在的问题是从A,我不能连接到C,但是从B我可以连接到C,但是从C,A和B都是可以到达的。
A -> C - No
B -> C - Yes
C -> A - Yes
D -> B - Yes
有以下
浏览 4提问于2020-06-07得票数 0
回答已采纳
在2012年的R2 DC上设置WDS。客户端可以下载引导文件,但在输入访问图像共享所需的凭据时失败。执行Shift-F10并在X:提示符下做净使用W:\WDS\REMINST /user:. 密码,这在系统错误50时失败。我可以平WDS好的。从CD引导WinPE会产生相同的结果。但是在进行网络使用时,W:\somePC\someshare /User:相同的可以很好地连接到局域网上的任何其他域客户端。连接到第二DC也失败了,所以它只是不连接到DC。域连接的客户端可以连接到DC共享,包括REMINST,OK;不能连接的是PXE客户端。从这里我该去哪里?DC事件日志显示4653 IPsec错误,但
浏览 0提问于2018-10-22得票数 0
1回答
在Microsoft上,这是一个非常初级的问题,所以请假定基本知识。然而,我确实觉得我对Linux网络概念有很好的了解,但我在微软方面却不幸地失败了。
因此,我试图打开端口11111上正在运行的Microsoft的端口连接,以连接到该端口上正在运行的web应用程序。在远程桌面程序中,我能够连接到127.0.0.1的端口和本地主机。
因此,我已经确认应用服务器正在工作,并且可以在端口11111上发送响应。
但是,我无法从RDP实例之外连接到这个地址,假设我已经被分配了IP地址100.01.02.03作为参数。我在浏览器中导航到100.01.02.03:11111,连接挂起。
所以,我诊
浏览 8提问于2022-08-15得票数 0
在google cloud中,我想了解项目和VPC之间的关系。私有网络可以跨多个项目吗?或者我们可以说vpc总是在一个项目中?
浏览 2提问于2018-10-01得票数 0
我试图在kubernetes集群(GKE)上运行snakemake管道。该作业是从GCE启动的。有时起作用,但大多数情况下不起作用。
我采取的步骤是
gcloud container clusters get-credentials snakemake-k8s-demo
kubectl delete pod $(kubectl get pods | grep snakejob|colprint 1)
snakemake --kubernetes --container-image eu.gcr.io/scailyte-is/snakemake-gsdk --use-conda --defaul
浏览 0提问于2020-04-09得票数 2
回答已采纳
3回答
无法作为域用户进行RDP
、、、、
我正面临使用域帐户远程进入计算机的问题。
问题事实:
主机VM由公司A(读域A)托管。VM有一个本地管理员以及基于域'A‘的用户帐户,他们在VM的“管理员”上。
我属于B公司(域B)。
我使用公司提供的VPN来访问他们的网络。
我以前能够在域B上的计算机上使用mstsc远程访问域A上的任何VM。
最近,公司A将它们的域A迁移到了域Z。
现在,我无法使用我的域'Z‘用户帐户从域B上的计算机远程到域Z上的VM,但是,我能够使用本地用户帐户登录。域帐户的错误是泛型凭据无效。
当我以本地管理员身份登录到一个VM1后,使用我的域帐户远程访问另一个VM (比如VM2 )时,我的域'
浏览 0提问于2015-11-28得票数 3
我有一个小网站,显示来自不同广告网络的广告。有时,这些广告网络提供包含js代码的广告,这些代码向外部服务器发出HTTP请求,我发现有时这些请求侵犯了用户的隐私。
有什么方法阻止js请求到其他服务器吗?(即使我失去了广告的潜在收入,或者被禁止进入广告网络)
浏览 2提问于2021-04-20得票数 2
回答已采纳
1回答
我很难获得一个基本的NetworkPolicy资源来阻止Azure Kubernetes服务(AKS)实例上的所有入口流量。AKS是用azure网络插件(即Azure )建立的。
我们的问题是,随着VNet窥视到现场网络,AKS工作负载现在暴露在内部网络的不良参与者面前。因此,我们有一个入口控制器,但希望使它成为所有非系统工作负载的唯一入口点。
下面是NetworkPolicy资源:
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: hello-node-network-policy
namespa
浏览 1提问于2020-10-20得票数 1
回答已采纳
1回答
我更改了输入链的策略,添加了以下命令。
iptables -P INPUT DROP
在我插入下一个规则之后,为了允许从网络端口80和443输入数据包,但是端口仍然关闭(例如,我不能使用web浏览器)。
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
来自iptables -L的输出:
Chain INPUT (policy DROP)
target prot opt source destination
浏览 0提问于2017-05-01得票数 1
回答已采纳
我对全球网络政策的这种行为感到困惑。请执行以下操作。
apiVersion: projectcalico.org/v3
kind: GlobalNetworkPolicy
metadata:
name: allow-dns-for-all-policy
spec:
namespaceSelector: has(projectcalico.org/name) && projectcalico.org/name not in {"kube-system", "calico-system"}
order: 0
egress:
# a
浏览 4提问于2021-01-14得票数 0
我有一个主kubernetes集群和两个work kubernetes集群,我在集群上运行应用程序,但在worker节点上运行pods无法连接到internet,而且我还为所有pods启用了出口网络策略。这是我的网络策略 kind: NetworkPolicy
metadata:
name: allow-all-egress
spec:
podSelector: {}
egress:
- {}
policyTypes:
- Egress```
浏览 35提问于2021-07-30得票数 1
回答已采纳
我是Kubernetes的初学者,我的情况如下:我有两个不同的Pods:PodA和PodB。首先,我想向外界公开PodA,所以我为PodA创建了一个服务(类型NodePort或LoadBalancer),这对我来说并不难理解。
然后,我希望PodA与PodB通信,在谷歌了几个小时后,我发现我还需要为PodB<code>E 219</code>创建一个服务(如果只希望在集群中保持PodB可见,则需要创建ClusterIP类型),如果这样做,我可以让<code>E 120</code>PodA<code>E 221</code>
浏览 0提问于2020-05-14得票数 6
我并不是新来的Linux (Ubuntu14.x),但我必须承认,到目前为止,我从未对防火墙感到烦恼。我目前正在使用Ubuntu内置的防火墙(UFW)和图形插件(GUFW),我已经配置它来撤销所有传入和传出连接,但允许的应用程序/进程除外,我已经为其创建了管理规则,
等:允许应用程序“蒸汽”输入和输出,端口27036.
但是,问题是,某些应用程序,例如“我会玩我的”(是的,我玩“我玩我的”),似乎没有使用特定的端口来连接局域网。此外,其他应用程序无疑将使用晦涩的端口进行更新和通信,这些端口不是在文档中列出,就是不具体(就像“我的世界”中的情况一样)。
我目前的做法是简单地在短时间内关闭防火墙,
浏览 0提问于2016-06-27得票数 3
例如,有以下命令:
policy-map type inspect IN-OUT_PlcyMAP
class type inspect IN-OUT_ClassMAP
inspect <------
policy-map type inspect IN-OUT_PlcyMap
class type inspect IN-OUT_ClassMAP
pass <------
zone security INSIDE
zone security OUTSIDE
zone-pair security IN->OUT source INSIDE desti
浏览 0提问于2012-05-30得票数 1
我想通过分析网络数据包流来了解XMPP协议是如何工作的,但是所有的XMPP内容都是加密的。有办法让他们不加密吗?
我使用Openfire作为XMPP服务器,使用Spark作为客户端。我尝试过将Server属性"SSL已启用“设置为禁用,但它没有工作。我也尝试过SSLKEYLOGFILE + Wireshark方式,但这只适用于浏览器,而不是XMPP。
浏览 0提问于2018-03-22得票数 0
回答已采纳
我正在学习Windows 2008 R2中的NAP强制执行。
我无法掌握如何在港口基础上实施NAP。据我所知,802.1x有线NAP法规使用交换机来决定计算机是否符合网络要求,或者计算机是否应该进入补救网络。
在过去的一小时里,我一直试图在谷歌上搜索端口号在使用802.1x有线NAP法规时是如何发挥作用的,但什么也没有出现。最有帮助的是
http://technet.microsoft.com/en-us/library/cc770861(v=ws.10).aspx
和
http://msdn.microsoft.com/en-us/library/dd125336(v=ws.10).aspx
浏览 0提问于2014-09-27得票数 1
回答已采纳
1回答
我目前托管多个生产项目在Microsoft。每个项目都配置了一个单独的虚拟网络,其中两个Windows VM充当web服务器,一个服务器充当域控制器。安全在所有环境中都是必不可少的,所以我一直把它们完全孤立在一起。
我将创建一个额外的虚拟网络,作为一个管理区域,我将通过一个站点间VPN隧道将这个网络连接到另一个网络。我的目标是使用这个管理网络作为集中WSUS管理、端点安全管理、GPO配置等的基础。
像这样设计它是否明智/安全?我正在考虑在管理网络中有一个带有TLD的Active林,而在同一个林中,每个项目网络作为子域。
任何建议和建议都将不胜感激,因为我试图规划最佳配置。请记住,重新配置当前的
浏览 0提问于2016-05-24得票数 -1
回答已采纳
我正在尝试在kubernetes集群中实现网络策略,以将我的pod隔离在名称空间中,但仍然允许它们访问互联网,因为我使用Azure MFA进行身份验证。
这就是我尝试过的,但似乎不能让它工作。入口工作正常,但这些策略会阻止所有出口。
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: default-deny-all
spec:
podSelector: {}
policyTypes:
- Ingress
kind: NetworkPolicy
apiVersion: networking.
浏览 4提问于2019-09-04得票数 3
我在亚马逊网络服务中有我的K8s设置(Pods、B和C)和弹性缓存(“xxx.xxxx.xx.cache.amazonaws.com”)。现在,我所有的pod都可以访问弹性缓存。 我正在寻找一种解决方案,通过它我可以限制通信。我读过有关calico的文章,但我知道我可以阻止两个pod之间的通信。除了阻止Pods和C之外,我还可以允许A与xxx.xxxx.xx.cache.amazonaws.com进行通信吗? PS: Elastice缓存不是驻留在k8s集群中的东西。
浏览 21提问于2020-04-23得票数 0
回答已采纳
我想为审计日志定义策略,该策略将只包含有关pod创建的信息。我想确保所有的审计日志都不会出现。如何找到该策略可以拥有的所有选项?我只想要
- level: RequestResponse
resources:
- group: ""
# Resource "pods" doesn't match requests to any subresource of pods,
# which is consistent with the RBAC policy.
resources: ["pods
浏览 6提问于2020-01-07得票数 0
1回答
我读过一本关于计算机网络理论的书,现在我熟悉了一些协议,如TCP、IP、以太网等。然而,在实践中,在任何现代操作系统中,你也有一些叫做“网络接口”的抽象。但在RFC标准和理论书籍中,这个基本概念没有一个字。
我有这样的问题:
什么是网络接口?
我听说网络接口是为了“简化网络管理”而发明的。他们到底是如何简化这一点的?
网络接口如何与网络协议(以太网、IP、TCP)及其OSI层相对应?我说的对吗?这个接口代表IP网络中的“主机”吗?但是为什么会有一个没有IP地址的接口呢?
网络接口如何与linux套接字相对应?当您通过套接字发送一些数据时,是否隐式地选择了某个接口?
为什么环
浏览 12提问于2022-12-04得票数 0
回答已采纳
1回答
我想通过SSL连接到一个Azure (Windows2012SSL),该R2可以通过RDP网关服务来实现。但是,这通常用于连接到其他本地网络机器,而不是网关本身。
RDP是否可以通过SSL进入网关本身?如果是,我应该在RDP设置中指定什么来连接?
另外,我可以禁用网关使用的UDP连接吗?那箱子里丢了什么?
谢谢!
浏览 0提问于2015-05-26得票数 2
我想让我的java程序在Web Developer Toolbar: FireFox中的中看到网页的‘生成的源代码’,在‘查看源代码’菜单下找到,而不是简单的通过java网络定期返回的实际html源代码:
HttpURLconnection.getInputStream();
java程序能否做到这一点,或者至少将任务委托给同一台计算机上的另一个应用程序,这些应用程序是用嵌入浏览器中的其他东西(javascript)编写的?
浏览 1提问于2011-12-16得票数 1
上下文
我有一个Google引擎(GKE)集群,启用了。作为工作负载标识的一部分, DaemonSet在集群上运行。我有一个名称空间my-namespace,并且想拒绝名称空间中所有豆荚的出口流量,除了出口到K8s-元数据-代理DaemonSet。因此,我有以下NetworkPolicy:
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: test-network-policy
namespace: my-namespace
spec:
# Apply to all pods.
podSel
浏览 11提问于2020-10-01得票数 1
回答已采纳
1回答
我在默认名称空间中创建了下面的'pod`‘
kubectl run myhttpd --image="docker.io/library/nginx:latest" --restart=Never -l app=httpd-server --port 80
我在另一个namespace上创建了另一个Pod,以检查port 80上default namespace上的连接性和下面的command
kubectl run cli-httpd --rm -it --image=busybox --restart=Never -l app=myhttpd -- /bin/sh
浏览 7提问于2022-08-29得票数 1
回答已采纳
我正在我的kubernetes集群中设置一个名称空间,以拒绝任何像这样的传出网络调用,但允许在我的名称空间(如 )内进行pod通信,其中,我的- nginx是指向我的nginx的kubernetes服务。
如何使用网络策略来实现这一点。下面的网络策略有助于阻止所有传出的网络呼叫。
kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
name: deny-all-egress
namespace: sample
spec:
policyTypes:
- Egress
podSelector: {}
怎么
浏览 3提问于2019-01-18得票数 4
回答已采纳
2回答
我正在使用Google函数,并且有多个具有云功能的项目,这些项目需要相互通信。我的问题是,函数只有当它们设置为“允许所有通信量”时才能相互通信。一旦我将其更改为所需的设置,即“只允许内部流量”,projectB就不能与projectA对话。这两个项目都是Firebase项目,它们配置了VPC网络和Serverless VPC,以便与后端数据库通信。
据我所知,谷歌说,我应该创建一个VPC周边,其中包括所有需要交谈的项目,这是为了解决问题。我已经这样做了,但如果设置为“仅允许内部通信”,则仍然存在访问问题。
我还尝试用静态私有ip地址设置vpc网络。然后,我从projectB尝试在私有IP上与P
浏览 0提问于2020-07-26得票数 1
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
云直播
对象存储活动推荐
腾讯云开发者
