仅允许出口到互联网
Allow Egress only to internet
我有一个边缘服务。此服务需要通过 Internet 向某处发送一些内容。
我正在使用 Canal CNI。
我可以定义一个 NetworkPolicy 来允许 仅 出口到互联网,而不是集群的其余部分吗?
像下面这样的东西会起作用:
kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
name: only-allow-internet
spec:
policyTypes:
- Egress
# match all pods in the namespace
podSelector: {}
egress:
- to:
- ipBlock:
# allow all IPs
cidr: 0.0.0.0/0
except:
# except the private IP ranges: https://en.wikipedia.org/wiki/Private_network
- 10.0.0.0/8
- 192.168.0.0/16
- 172.16.0.0/20
它允许所有 IP(因为每个 IP 都匹配 0.0.0.0/0
),但 IANA 定义为私有 IP 范围的私有 IP 范围除外。
请注意,这也会破坏 DNS 查找,因为默认情况下 kubernetes pods 使用 Kubernetes 中的 DNS 服务器。您可以通过 运行 在 pod 中使用以下命令 来验证它:
$ nslookup google.com
$ nslookup google.com 8.8.8.8
第一个会超时,而第二个会工作。
默认情况下,Kubernetes DNS IP 为 10.96.0.10
。您可以通过检查 pod 中的 /etc/resolv.conf
来验证它。因此,如果您希望 DNS 查找工作,您可能需要进一步自定义 NetworkPolicy
,定义更具体的 IP 范围以允许 DNS 查找。
或者,您可以在容器定义级别定义 DNS。详情在这里:https://kubernetes.io/docs/concepts/services-networking/dns-pod-service/#pod-s-dns-config
此外,您不能阻止所有私有 IP 范围,而只能阻止集群 pod/service 范围。您可以在 kube-apiserver
参数中找到它们。
我有一个边缘服务。此服务需要通过 Internet 向某处发送一些内容。
我正在使用 Canal CNI。
我可以定义一个 NetworkPolicy 来允许 仅 出口到互联网,而不是集群的其余部分吗?
像下面这样的东西会起作用:
kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
name: only-allow-internet
spec:
policyTypes:
- Egress
# match all pods in the namespace
podSelector: {}
egress:
- to:
- ipBlock:
# allow all IPs
cidr: 0.0.0.0/0
except:
# except the private IP ranges: https://en.wikipedia.org/wiki/Private_network
- 10.0.0.0/8
- 192.168.0.0/16
- 172.16.0.0/20
它允许所有 IP(因为每个 IP 都匹配 0.0.0.0/0
),但 IANA 定义为私有 IP 范围的私有 IP 范围除外。
请注意,这也会破坏 DNS 查找,因为默认情况下 kubernetes pods 使用 Kubernetes 中的 DNS 服务器。您可以通过 运行 在 pod 中使用以下命令 来验证它:
$ nslookup google.com
$ nslookup google.com 8.8.8.8
第一个会超时,而第二个会工作。
默认情况下,Kubernetes DNS IP 为 10.96.0.10
。您可以通过检查 pod 中的 /etc/resolv.conf
来验证它。因此,如果您希望 DNS 查找工作,您可能需要进一步自定义 NetworkPolicy
,定义更具体的 IP 范围以允许 DNS 查找。
或者,您可以在容器定义级别定义 DNS。详情在这里:https://kubernetes.io/docs/concepts/services-networking/dns-pod-service/#pod-s-dns-config
此外,您不能阻止所有私有 IP 范围,而只能阻止集群 pod/service 范围。您可以在 kube-apiserver
参数中找到它们。