默认情况下,Kubernetes 允许 Pod 使用 pod IP 访问其他 Pod。
我有 2 个豆荚。Pod1 和 Pod2。Pod1有一个mysql服务器和一个PHP应用程序。Pod2有一个php应用程序。Pod1 的 ip 是 174.17.0.4,在 Pod2 中 php 应用程序可以从地址174.17.0.4:3306
访问 mysql 服务器。
Pod1 和 Pod2 是 2 个不同的应用程序。Pod2 与 Pod1 并非无关。所以我担心的是,如果 Pod2 被黑客入侵,黑客可以扫描网络并暴力攻击 Pod1 mysql 服务器。
如何禁止从 pod1 外部访问 mysql 端口3306
?
如果群集设置支持NetworkPolicy
资源,则可以查看网络策略。有了它,您可以为特定 Pod 设置特定的入口和出口策略。
声明Network Policy
的第一步是安装具有网络策略支持的network provider
。有关更多信息,请点击此链接。当我使用Minikube
时,我安装了Cilium
。点击此链接了解如何安装它。并确保硬盘驱动器上有足够的空间,否则Cilium pods
将处于pending
状态,并在事件1 node had taints that the pod didn't tolerate
中出现此错误。