kubernetes网络策略禁用AWS上特定名称空间的所有Internet连接-EKS

时间:2020-01-30 14:18:11

标签: security kubernetes containers amazon-eks

我想拒绝该容器访问公共互联网。

经过长期研究,我发现this example: DENY external egress traffic

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: foo-deny-external-egress
spec:
  podSelector:
    matchLabels:
      app: foo
  policyTypes:
  - Egress
  egress:
  - ports:
    - port: 53
      protocol: UDP
    - port: 53
      protocol: TCP
   to:
    - namespaceSelector: {}

但是它不起作用。确实,我跑了wget https://google.com,得到了积极的回应。 任何提示都很好

2 个答案:

答案 0 :(得分:1)

网络策略在calico上运行良好。 网络策略对使用绒布网络插件的群集没有影响

link所述,法兰绒专注于网络。对于网络策略,可以使用Calico等其他项目。

网络策略使用calico阻止了群集上的流量

我有两个群集,一个使用法兰绒,另一个使用印花棉布,并且按印花布上的预期进行测试。

日志:

$ kubectl apply -f networkpolicy.yaml
networkpolicy.networking.k8s.io/foo-deny-external-egress created


ubuntu@calico-master-1:~$ kubectl run busybox --image=busybox --restart=Never -- sleep 3600
pod/busybox created


$ kubectl get networkpolicy
NAME                       POD-SELECTOR   AGE
foo-deny-external-egress   run=busybox    30m

$ kubectl exec -it busybox -- /bin/sh
/ # wget https://google.com
Connecting to google.com (74.125.193.102:443)
wget: can't connect to remote host (74.125.193.102): Connection timed out

在使用Flannel创建网络策略的群集上无效 

ubuntu@k8s-flannel:~$ kubectl exec -it busybox -- /bin/sh
/ # curl https://google.com
/bin/sh: curl: not found
/ # wget https://google.com
Connecting to google.com (216.58.207.238:443)
wget: note: TLS certificate validation not implemented
Connecting to www.google.com (172.217.20.36:443)
saving to 'index.html'
index.html           100% |*************************************************************************************************************************************************| 12498  0:00:00 ETA
'index.html' saved

应用政策

$ kubectl apply -f networkpolicy.yaml
networkpolicy.networking.k8s.io/foo-deny-external-egress created

$ kubectl get networkpolicy
NAME                       POD-SELECTOR   AGE
foo-deny-external-egress   run=busybox    32m

由于法兰绒网络政策不起作用,我们仍然可以进入外部网络。

$ kubectl exec -it busybox -- /bin/sh
/ # wget https://google.com
Connecting to google.com (172.217.22.174:443)
wget: note: TLS certificate validation not implemented
Connecting to www.google.com (172.217.20.36:443)
saving to 'index.html'
index.html           100% |*************************************************************************************************************************************************| 12460  0:00:00 ETA
'index.html' saved

答案 1 :(得分:0)

EKS上的默认CNI不支持网络策略。您应该

相关问题
最新问题