k8s出口网络策略不适用于dns

文章/答案/技术大牛

发布

2回答

kubernetes

我已经添加了此NetworkPolicy来阻止所有出口，但允许DNS。networking/namespace: kube-system matchLabels: k8s-app: kube-dnstcp.argotunnel.com on 10.2.0.10:53: read udp 10.32.1.179:40784->10.2.0.10:53: i/o timeout 此IP (10.2.0.10)属于kube-dns

浏览 85提问于2021-01-09得票数 5

2回答

使用Azure CNI网络策略仅允许从Kubernetes pod到特定FQDN/DNS的出口

kubernetes、azure-aks、fqdn、kubernetes-networkpolicy、cni

如何使用Azure CNI网络策略将Kubernetes pod的出口限制为仅特定的FQDN/DNS？egress: - matchName: "api.twitter.com" - matchLabels: "k8s:k8s

浏览 24提问于2021-10-19得票数 0

回答已采纳

1回答

k8s网络策略阻止DNS

kubernetes、dns、kubernetes-networkpolicy

我正在尝试使用网络策略为我的pod启用DNS。我正在使用https://kubernetes.io/docs/tasks/administer-cluster/dns-debugging-resolution/ 当DNS正常工作时： nslookupAddress: 100.64.0.10#53 Address: 100.64.0.

浏览 89提问于2021-10-13得票数 0

1回答

防火墙/限制Kubernetes pods出口流量

kubernetes、firewall

我很好奇，你们是用什么来过滤Kubernetes上的豆荚出口流量。我正在GKE上运行K8s集群，并且已经在使用(calico)网络策略对入口和出口流量进行防火墙。现在我遇到了一种情况，我们需要访问一个运行在akamais边缘网络“后面”的外部api。与api的连接是使用URL建立的，并且DNS解析会不断变化。在我的网络策略中没有固定的ip可以用来允许访问。使用所有akamais ip网络作为策略目

浏览 15提问于2019-05-21得票数 0

2回答

是否可以允许出口流量的主机名？

kubernetes、kubernetes-networkpolicy

K8s网络策略允许指定CIDR，但我想指定它的名称。有什么方法可以实现这个功能吗？

浏览 12提问于2022-01-12得票数 1

回答已采纳

1回答

网络策略不适用于守护pod

kubernetes、kubernetes-pod、kubernetes-networkpolicy、calico、daemonset

网络策略是否适用于守护的pods？对于所有pod的所有入口和出口，我都有一个默认的拒绝网络策略。然而，它似乎不适用于属于守护线虫的豆荚。

浏览 32提问于2021-07-22得票数 0

回答已采纳

2回答

Kubernetes网络策略未按预期工作

nginx、kubernetes、kubernetes-networkpolicy、kubernetes-networking

我有一个k8s集群，它将工作节点分布在6个AZ中，因此，出口流量通过6个nat网关进行路由。我的要求是应用程序'xyz‘的所有出口流量应该只通过AZ- A的nat网关进行路由。因此，作为解决方案，我在同一名称空间中创建了一个nginx代理实例，将关联规则仅绑定到AZ -A，并考虑使用网络策略将出口流量从xyz pod路由到此代理实例。但看起来网络策略阻塞了整个出口流量。下面是出口NW策略的

浏览 28提问于2020-08-08得票数 0

1回答

无法应用K8s网络策略endPort

kubernetes、kubernetes-networkpolicy

我正在尝试为我的k8s网络策略应用出口端口范围，如下所示： - to: cidr: 10.0.0.0/24 ports:

浏览 2提问于2021-11-01得票数 1

1回答

如何使用Terraform为Azure PublicIP指定PTR

dns、terraform-provider-azure

我正在Azure托管的DNS区域中设置一个别名记录，以指向K8s集群的公共(出口) IP，如下所示： data "azurerm_dns_zone" "example" { name = var.dns_prefix zone_name = data.azurerm_dns_zone.example.

浏览 55提问于2021-04-14得票数 1

回答已采纳

2回答

即使我试图修改或重新创建"kubernetes“服务，在集群创建之后，”kubernetes“服务也会保持一致的ClusterIP吗？

kubernetes、kubernetes-service、kubernetes-apiserver、kubernetes-networkpolicy、kubernetes-cluster

我们正在应用允许访问K8S API的网络策略，但我们找到的唯一实现方法是查询"kubernetes“服务的ClusterIP，并将其作为ipBlock包含在网络策略中的出口规则中。

浏览 3提问于2020-07-09得票数 0

回答已采纳

1回答

如何将mongo容器暴露到覆盖网络之外？

mongodb、docker、kubernetes、mesos

我在Mesos集群中运行mongodb副本集作为容器(我的问题也适用于k8s/swarm)。副本集可以使用DNS或容器IP进行初始化。但是，DNS和容器IP都只能在Mesos集群的overlay网络中访问。现在，用户希望从Mesos/K8s集群外部访问mongo副本集，他们如何通过ingress/marathon-lb实现这一点？这里不考虑HostPort，因为只有入口/lb节点向公共网络公开。

浏览 5提问于2019-11-18得票数 0

3回答

kubernetes网络策略仅允许外部流量到internet

kubernetes、azure-aks

我正在尝试在kubernetes集群中实现网络策略，以将我的pod隔离在名称空间中，但仍然允许它们访问互联网，因为我使用Azure MFA进行身份验证。这就是我尝试过的，但似乎不能让它工作。入口工作正常，但这些策略会阻止所有出口。

浏览 4提问于2019-09-04得票数 3

2回答

Kubernetes NetworkPolicy:阻塞所有出口，但没有指定块

kubernetes、kubernetes-networkpolicy、egress

然而，所有的出口规则似乎都阻碍了所有的出口。接下来，我制定了一个允许出口到所有IP地址的网络策略.kind: NetworkPolicy name: allow-allmytestnamespace exec service-c-78f784b475-qsdqg -- bin/bash -c 'curl www.google.com' 为什么这个NetworkPolicy阻塞

浏览 7提问于2022-07-21得票数 0

回答已采纳

2回答

用 HTTPDNS，hdns为啥在wifi情况下获取不到，而在4G下可以？

http

在4G网络下，hdns_ip 和 ldns_ip 都是能获取到值的，但是在wifi情况下hdns_ip就获取不到值，这个是什么问题，另外这两个ip有啥不同么，腾讯提供的demo，也是我这样的情况，

浏览 489提问于2018-03-19

1回答

GKE网络策略与ExternalName

google-kubernetes-engine、kubernetes-networkpolicy

我需要禁用名称空间中的所有出口流量，除了一个方向，例如，yahho.com我的service.yaml看起来像：apiVersion: v1 name: yahoo output: allow type: ExternalName而我的网络策略文件阻止所有输出流量

浏览 3提问于2019-12-21得票数 1

1回答

Kubernetes雌虎网络策略不适用于所选的吊舱

nginx、kubernetes、weave

在我的kube集群建立出口网络策略方面，我面临着一个奇怪的问题。现在，让我们在我的nginx上应用网络策略，以便它只能访问这个API，而不是其他API。nginx:hello-k8s-deploy正如我们所看到的，两个标签都与网络策略相匹配。在我应用网络策略并再次访问nginx之后，我希望同样地工作并从

浏览 5提问于2020-07-25得票数 0

回答已采纳

1回答

Kubernetes / nginx -如何识别来自集群内另一个服务的http请求

nginx、kubernetes

我让Kubernetes在Google上运行，我有一个服务连接到一个带有Nodejs服务器的吊舱，另一个服务连接到一个带有NGINX的吊舱上。在NGINX荚，我有一个位置块，我想在全球否认，除非它来自Nodejs吊舱。我现在所拥有的，下面，总是被位置块所否定.我正在为Nodejs服务使用环境变量，该服务在创建时自动添加到NGINX中。 allow 1.2.3.4; #NODEJS_SERVICE_HOST; }

浏览 0提问于2019-09-07得票数 0

1回答

Calico不影响节点上运行的豆荚

kubernetes、project-calico、cni

我一直试图在我的集群上实现一个网络策略(k8s裸金属)，似乎没有任何策略是在集群节点上运行的豆荚上实现的，只有在主程序上直接运行的豆荚上才能实现。calicoctl的calicoctl(我可以看到运行在两个节点上的calico/calicoctl容器)和networkPolicy类型(networking.k8s.io/v1 &简单地拒绝任何入口/出口策略并测试到

浏览 1提问于2020-09-26得票数 0

1回答

是否在calico全局网络策略中隐式拒绝？

nginx、kubernetes、calico

我对全球网络政策的这种行为感到困惑。请执行以下操作。apiVersion: projectcalico.org/v3metadata: order: 0 # allow all namespaces to communicate to DNS群集上没有其他策略

浏览 4提问于2021-01-14得票数 0

2回答

错误:无法识别策略:在"v1beta1“版本中没有匹配类型的”策略“

kubernetes、amazon-eks、kubernetes-networkpolicy

--这些是AWSEKS1.17中提供的我的APIadmissionregistration.k8s.io/v1apiextensions.k8s.io/v1apiregistration.k8s.io/v1apps/v1authentication.k8s.io/v1 authentication.k8s.io/v

浏览 3提问于2020-08-02得票数 1

点击加载更多