是否可以通过主机名允许出口流量?
Is it possible to allow egress traffic by hostname?
K8s 网络策略允许指定 CIDR,但我想指定 DNS 名称。
在高层次上,我会看到它按以下方式工作:
- 有允许主机的白名单
- k8s拦截IP解析请求并检查主机是否在白名单中
- 如果是,已解析的 IP 会暂时添加到网络策略中,从而允许出口流量
有什么方法可以实现这个功能吗?
vpc-cni 没有实现 k8s 网络策略。您需要将 vpc-cni 替换为您选择的支持在策略中使用 FQDN 的 EKS 兼容 CNI 之一 here。注意可能需要升级(例如 Calico Enterprise)才能拥有此功能。
K8s 网络策略允许指定 CIDR,但我想指定 DNS 名称。
在高层次上,我会看到它按以下方式工作:
- 有允许主机的白名单
- k8s拦截IP解析请求并检查主机是否在白名单中
- 如果是,已解析的 IP 会暂时添加到网络策略中,从而允许出口流量
有什么方法可以实现这个功能吗?
vpc-cni 没有实现 k8s 网络策略。您需要将 vpc-cni 替换为您选择的支持在策略中使用 FQDN 的 EKS 兼容 CNI 之一 here。注意可能需要升级(例如 Calico Enterprise)才能拥有此功能。