Управление исходящими вызовами модулей kubernetes на основе файла промежуточного хоста

solveit

05.11.2022, 13:11

Могу ли я изменить и использовать /etc/host.разрешить файл или что-то подобное, чтобы ограничить исходящие (исходящие) вызовы из моих модулей kubernetes. Если при выполнении исходящего вызова из модуля во внешний домен (скажем, google.com) происходит промежуточный поиск, тогда я должен иметь возможность использовать хосты.разрешить какой конфиг для контроля и ограничения доступа исходящих звонков?
Например, я хочу разрешить google.com и заблокировать gitHub.com.

Примечание: Я вижу в своих модулях по умолчанию, что модуль coredns уже присутствует с изображением: владелец ранчо/coredns-coredns:1.8.3. Я так понимаю, что он идет по умолчанию с k3s.

PS: Я уже изучил политику calico и других внешних (сторонних) сетевых правил, но они не соответствуют моему требованию.

0 + 2

система доменных имен

кубернет

владелец ранчо

Wytrzymały Wiktor

06.11.2022, 09:52

Привет @solveit. Что вы уже пробовали?

Ответить

solveit

06.11.2022, 10:48

1. В Calico "Ограничение исходящих вызовов по домену" попадает под Calico-enterprise, который платный 2. В ресничке некоторые сложности в настройке для нескольких кластеров по сравнению с другими CNI, поэтому их нельзя использовать. 3. В сетевой политике K3 нет такой встроенной функции, при которой исходящие вызовы могут быть ограничены на основе домена. Например: разрешить google.com и заблокировать gitHub.com. 4. Плагин Coredns ACL https://coredns.io/plugins/acl/#examples предназначен для DNS-запросов, а не для доменов, поэтому его тоже нельзя использовать. 5. Служба K3S DNS также не предоставляет такого решения. Все это я пробовал.

Ответить

Admin

Этот вопрос на других языках:

EN: Controlling Egress calls of kubernetes pods based on intermediate host file

TH: การควบคุมการเรียกขาออกของพ็อด kubernetes ตามไฟล์โฮสต์ระดับกลาง

RO: Controlul apelurilor de ieșire ale podurilor kubernetes pe baza fișierului gazdă intermediar

RU: Управление исходящими вызовами модулей kubernetes на основе файла промежуточного хоста

VI: Kiểm soát lệnh gọi Đi ra của nhóm kubernetes dựa trên tệp máy chủ trung gian

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.