Как запретить доступ к контейнерному порту из ip pod в Кубернетес

Question

По умолчанию Kubernetes разрешают модулям обращаться к другим модулям с помощью IP-адреса модуля.

У меня есть 2 капсулы. Pod1 и Pod2. Pod1 имеет сервер mysql и приложение PHP. И у Pod2 есть php приложение. IP1 Pod1 - 174.17.0.4. В Pod2 приложение php может обращаться к серверу mysql с адреса 174.17.0.4:3306.

. Pod1 и Pod2 - это два разных приложения. Pod2 не имеет ничего общего с Pod1. Поэтому я обеспокоен тем, что если Pod2 был взломан, хакер может сканировать сеть и перебором атаковать сервер Pod1 mysql.

Как я могу запретить доступ к mysql порту 3306 извне pod1

Answer 1

Если настройка вашего кластера поддерживает ресурс NetworkPolicy, вы можете посмотреть сетевую политику . С его помощью вы можете установить определенные c входные и выходные политики для указанных c пакетов.

Answer 2

Первым шагом для объявления Network Policy является установка network provider с поддержкой сетевой политики. Для получения дополнительной информации перейдите по этой ссылке . Поскольку я использовал Minikube, я установил Cilium. Перейдите по этой ссылке о том, как ее установить. И убедитесь, что на жестком диске достаточно места, иначе вы Cilium pods будете в состоянии pending с этой ошибкой в ​​событиях 1 node had taints that the pod didn't tolerate.