我正在尝试将服务彼此隔离。
假设 ops-human 在Google Container Engine上运行了一堆mysql商店, dev-human 在同一个集群上运行了一堆节点应用程序。我不希望 dev-human 能够以任何方式访问任何 ops-human的 mysql实例。
最简单的解决方案:将这两者放在不同的子网中。我该怎么办?我也对其他实现持开放态度。
答案 0 :(得分:1)
Kubernetes Network-SIG团队一直在研究网络隔离问题,kubernetes 1.2中有一个实验性的API来支持这一点。基本思想是在每个命名空间的基础上提供网络策略。然后,第三方网络控制器可以对资源的更改做出反应并实施策略。有关详细信息,请参阅有关此主题的上一篇blog post。
编辑:这个答案更多的是关于开源kubernetes,而不是GKE专门。
答案 1 :(得分:0)
NetworkPolicy资源现在可用于Alpha群集中的GKE(see latest blog post)。