Kubernetes网络策略和外部负载均衡器

时间:2020-01-24 13:16:18

标签: kubernetes google-kubernetes-engine

让我们假设我的集群中有一个部署,该部署通过负载平衡器服务(具有带有某些外部防火墙规则的静态IP)暴露于外界,现在我想对同一应用内部防火墙规则部署中,我想限制它只能与其他几个Pod连接,以防万一受到损害。那么我是否可以同时应用负载均衡器和出口网络策略在Kubernetes中进行部署而又不会搞砸呢?负载均衡器和网络策略之间是否存在明显的区别(一个用于外部流量,另一个用于内部流量)。

谢谢!

为了争辩,我们假设这是我要应用的网络策略:

kind: NetworkPolicy
metadata:
  name: bridge-ergress-access
  namespace: default
spec:
  podSelector:
    matchLabels:
      name: mqtt-lb-service
  policyTypes:
    - Egress
  egress:
    - to:
      - podSelector:
          matchLabels:
            - app: kafka1
      - podSelector:
          matchLabels:
            - app: kafka2
      - podSelector:
          matchLabels:
            - app: kafka3
      - podSelector:
          matchLabels:
            - app: redis

1 个答案:

答案 0 :(得分:1)

Kubernetes网络策略用于对平台上部署的应用程序实施第3层分段。网络策略缺乏现代防火墙的高级功能(例如第7层控制和威胁检测),但它们确实提供了基本的网络安全级别,这是一个很好的起点.Kubernetes网络策略为Pod组指定访问权限,就像安全云中的组用于控制对VM实例的访问。

您可以使用kubernetes网络策略通过用于控制VM /主机网络中流量的外部防火墙规则来控制pod网络中的流量。

相关问题
最新问题