我创建了一个将TCP端口22转发到群集中的服务的Ingress服务。照原样,所有入站流量都被允许。
我想知道的是,是否有可能定义NSG规则以仅阻止访问某个子网。我能够使用Azure界面定义该规则。但是,每次编辑Ingress服务时,这些网络安全组规则都会被还原。
谢谢!
答案 0 :(得分:1)
我认为AKS中的NSG会有一些误解。因此,首先让我们看一下AKS的网络,Kubernetes使用Services在逻辑上将一组Pod组合在一起并提供网络连接。有关更多详细信息,请参见AKS Service。并且,当您创建服务时,Azure平台会自动配置所需的任何网络安全组规则。
不要手动配置网络安全组规则以进行过滤 AKS群集中的Pod的流量。
有关更多详细信息,请参见NSG in AKS。因此,在这种情况下,您无需在NSG中手动管理规则。
但是请放心,您也可以根据需要手动管理广告连播的规则。参见Secure traffic between pods using network policies in Azure Kubernetes Service。您可以安装Calico网络策略引擎并创建Kubernetes网络策略,以控制AKS中Pod之间的流量。尽管它只是预览版本,但它也可以帮助您实现所需的功能。但是请记住,只有在创建群集时才能启用网络策略。
答案 1 :(得分:0)
是的!这绝对是可能的。 Azure NSG用于子网和NIC。您可以在NSG规则上定义CIDR,以允许/拒绝所需端口上的流量,并将其应用于NIC和子网。请注意,如果群集位于同一子网中,请确保在子网和NIC级别具有匹配的规则。否则,流量将在内部被阻止,并且不会消失。该文档最能描述他们https://blogs.msdn.microsoft.com/igorpag/2016/05/14/azure-network-security-groups-nsg-best-practices-and-lessons-learned/。