在具有Fargate的ECS中,我们可以通过安全组管理服务隔离。但是,Fargate上的EKS不再是这种情况。
是否可以像网络策略一样将同一群集上的Pod彼此隔离?我知道这对于kubernetes是可行的,但是它需要由网络插件来实现。尝试安装列出的here网络提供商,但未成功,因为它需要守护程序集(eks fargate的限制:Cannot run Daemonsets, Privileged pods, or pods that use HostNetwork or HostPort.)
答案 0 :(得分:0)
这是我们在roadmap item中要跟踪的内容。目前尚无可行的解决方法。正如您所指出的,使用EC2时,我们建议使用Calico network policy engine,但Fargate不支持DaemonSet,因此无法使用。
鉴于与Pod相关联的SG是在集群级别定义的,一种缓解这种情况的方法是将类似Pod分布在不同的集群中,其中Pod SG是为特定类型的工作负载配置的,但这意味着更多的工作和更高的控制飞机成本。