我有一个带有ASG的EKS集群。 我想限制特定名称空间中的Pod才能连接到特定的RDS服务。
AWS中有此功能吗,有什么建议吗?
寻找已经在生产中运行的最佳实践。
答案 0 :(得分:0)
我不相信有一种方法可以只将一个名称空间列入白名单以访问您的RDS实例。这主要是因为群集是共享的,并且AWS服务并不真正了解kubernetes命名空间是什么。
为了实现连接,您可以拥有一个私有vpc对等连接或一个公共RDS,您将在其上将连接到VPC NAT网关的弹性IP列入白名单。我强烈建议您使用专用vpc对等,然后至少知道连接是专用的。
最后,将允许对整个集群进行RDS访问,因为您不能真正将其限制为一组资源。但是,由于您的RDS需要用户凭据才能访问内部的任何数据,因此我不认为将群集针对RDS列入白名单并不是一个大问题。