备案控制台
开发者社区 > 云原生 > 容器服务 > 正文

在容器服务ACK如何实现用阿里云的network policy 对fqdn实现访问白名单功能?

在容器服务ACK如何实现用阿里云的terway cni的network policy 对fqdn实现访问白名单功能?

展开
收起
三分钟热度的鱼 2023-07-19 20:59:48 59 0
2 条回答
写回答
取消 提交回答
  • 算精通
    北京阿里云ACE会长

    在容器服务 ACK 中,您可以使用阿里云的网络策略(Network Policy)功能,对 FQDN 实现访问白名单功能。具体步骤如下:

    创建网络策略:在容器服务 ACK 控制台中,创建一个网络策略对象,并定义相应的规则。规则可以基于 IP 地址、端口、协议等属性进行匹配,以限制访问。您可以使用阿里云的网络策略控制器,将网络策略应用到容器服务 ACK 集群中。

    定义 FQDN 访问规则:在网络策略中,您可以定义一条 FQDN 访问规则,以限制对指定域名的访问。具体来说,您可以在规则中指定 FQDN 域名,以及允许的 IP 地址或 IP 段,以限制访问。例如,可以定义以下规则:

    yaml
    Copy
    apiVersion: networking.k8s.io/v1
    kind: NetworkPolicy
    metadata:
    name: allow-fqdn-access
    spec:
    podSelector: {}
    policyTypes:

    • Ingress
      ingress:
    • from:
      • ipBlock:
        cidr: 10.0.0.0/8
      • namespaceSelector:
        matchLabels:
        app: nginx
        ports:
      • protocol: TCP
        port: 80
    • from:
      • ipBlock:
        cidr: 192.168.0.0/16
      • namespaceSelector:
        matchLabels:
        app: mysql
        ports:
      • protocol: TCP
        port: 3306
        在上述例子中,定义了两个 FQDN 访问规则,分别限制了对 nginx 和 mysql 服务的访问。其中,ipBlock 指定了允许访问的 IP 地址段,namespaceSelector 指定了允许访问的命名空间。您可以根据实际需要,进行相应的修改和优化。
    2023-07-29 09:03:41
    赞同 展开评论 打赏
  • Star时光

    在容器服务 ACK 中,要使用阿里云的 Terway CNI(Container Network Interface)来实现对 FQDN(Fully Qualified Domain Name)的访问白名单功能,可以按照以下步骤进行配置:

    1. 安装和配置 Terway CNI:

      • 在创建或更新 ACK 集群时,选择 Terway CNI 作为网络插件。
      • 根据官方文档指引,执行相应的安装和配置步骤,确保 Terway CNI 正常运行。

    2. 创建 Network Policy 白名单规则:

      • 使用 Kubernetes 的 Network Policy 功能来定义网络策略,限制 Pod 之间的通信。

      • 编写一个 Network Policy YAML 文件,定义允许访问的 FQDN 列表。例如:

        apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: whitelist-policy
spec:
  podSelector: {}
  policyTypes:
  - Ingress
  ingress:
  - from:
    - namespaceSelector: {}
      podSelector: {}
    ports:
    - protocol: TCP
      port: 80
    - protocol: TCP
      port: 443
    - protocol: TCP
      port: 53
    - protocol: UDP
      port: 53
    - protocol: ICMP

      • from 部分添加需要允许访问的源 Namespace 或 Pod 的选择器,以及需要打开的端口和协议。

      • 确保该 Network Policy 被应用到正确的 Namespace 中。

    3. 验证配置:

      • 部署和启动需要访问白名单的应用程序,并确保它们所在的 Pod 符合 Network Policy 规则。
      • 尝试从 Pod 访问 FQDN,检查是否被限制仅允许访问白名单中的域名。

    需要注意的是,Terway CNI 作为容器服务 ACK 的网络插件,可以通过 Kubernetes 的 Network Policy 来实现基于 Pod 的访问控制。但是 Terway CNI 自身并不直接支持对 FQDN 的访问白名单功能。因此,在配置 Network Policy 时,需要考虑 FQDN 的解析和匹配方式。

    2023-07-28 12:53:59
    赞同 展开评论 打赏
问答分类:
容器服务Kubernetes版 容器计算服务
问答标签:
容器服务Kubernetes版访问 容器阿里云 容器服务Kubernetes版白名单 容器白名单 容器服务白名单
问答地址:
开发者社区 > 云原生 > 容器服务 > 问答
相关产品:
容器服务Kubernetes版

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关问答
容器服务ACK HPA功能阈值如何设置
13
1
0
容器服务下的应用重新部署后访问5XX
9
1
0
容器服务集群中添加或修改TLS证书但访问时还是默认证书
11
1
0
容器服务ACK集群中应用间如何互相访问
13
1
0
容器服务ACK如何通过公网访问工作负载
15
1
0
请问容器服务ACK使用alb ingress的时候访问依赖服务,怎么拿到ecs ip?
43
1
0
云效Appstack 版本记录-Kubernetes 部署 只有比较功能,没有回滚功能吗?
24
1
0
ACK集群Loadbalancer如何配置白名单
7
1
0
容器服务ingress-nginx设置白名单不生效
5
1
0
容器服务Ingress Controller访问失败
9
1
0
云原生

容器服务

国内唯一 Forrester 公共云容器平台领导者象限。

我要提问

相关产品

  • 容器服务Kubernetes版
    文档详情 产品详情

    • 热门讨论

    热门文章

  • 怎么查看registry.aliyuncs.com/google_containers都有哪些镜像
    4218
  • OpenKruise现在好多docker.io的镜像都拉不了,你们有这种情况吗?
    378
  • 容器服务ACK阿里镜像仓库哪里可以看到所有的镜像版本?
    674
  • 容器服务ACK这样一个场景:自建的k8s集群,接入互联网,是填写哪块的IP地址?
    71
  • 容器服务ACK Ingress的svc 的 type: LoadBalancer 这个类型么?
    57
  • 请问一下容器服务ACK,正式环境用docker-compose,会有问题吗?
    54
  • 容器镜像服务K8S拉取镜像失败
    2538
  • 容器服务ACK LoadBalance、Ingress、生产环境建议用哪种?
    49
  • registry.aliyuncs.com/google_containers这个镜像仓库都有啥镜像
    624
  • KubeVela dockerhub最近修改了路由策略,现在内地很难稳定拉取它的镜像了不知道怎么改?
    113
    • 展开全部
  • Docker 镜像加速器
    401595
  • Docker CE 镜像源站
    404915
  • Minikube - Kubernetes本地实验环境
    230313
  • Docker的Windows容器初体验
    99735
  • Docker学习路线图 (持续更新中)
    86586
  • 利用Zipkin对Spring Cloud应用进行服务追踪分析
    62173
  • 基于Docker的Tensorflow实验环境
    57621
  • Docker常见故障排查指南 - 阿里云容器服务
    55397
  • 谈谈 Docker Volume 之权限管理(一)
    56186
  • 容器镜像服务 Docker镜像的基本使用
    50447
    • 展开全部

    相关课程

    更多
  • 5分钟玩转阿里云容器服务
    4940
    41
    去学习
  • 容器持久化储存训练营
    451
    3
    去学习
  • 现代应用容器技术快速入门
    1156
    4
    去学习
  • 云计算、容器和云原生基础课程
    2577
    2
    去学习
  • Serverless 容器从入门到精通: - Serverless Kubernetes
    1254
    7
    去学习
  • 容器安全与Palo Alto Networks解决方案
    691
    12
    去学习

    • 相关文章

  • [计算机网络]深度学习传输层TCP协议
  • 将 Sidecar 容器带入新的阶段
  • TCP传输的三次握手四次挥手策略
  • K8S 集群认证管理
  • Kuberntes部署MetalLB负载均衡器

    • 相关电子书

    更多
    • 聚石塔电商云容器服务应用和实践 立即下载
    基于阿里云容器服务 实现Serverless服务 立即下载
    容器加速企业创新阿里云容器服务 立即下载

    相关实验场景

    更多
  • 阿里云百炼xAnalyticDB PostgreSQL构建AIGC应用
    110
    1.0小时
    去实验
  • 基于阿里云E-HPC平台的WRF气象预报实验
    67
    1.0小时
    去实验
  • 基于阿里云DeepGPU实例,让AI带你畅玩杭州
    66
    1.0小时
    去实验
  • 基于阿里云E-HPC和OpenFoam进行流体仿真实验
    112
    1.0小时
    去实验
  • 基于阿里云DeepGPU实例,用AI画唯美国风少女
    158
    1.0小时
    去实验
  • 通过容器镜像仓库与容器服务快速部署spring-hello应用
    102
    2.0小时
    去实验

    • 相关镜像

  • kubernetes
  • pouch
  • terraform