AI 助理
备案控制台
开发者社区 > 云原生 > 容器服务 > 正文

在容器服务ACK如何实现用阿里云的network policy 对fqdn实现访问白名单功能?

在容器服务ACK如何实现用阿里云的terway cni的network policy 对fqdn实现访问白名单功能?

展开
收起
三分钟热度的鱼 2023-07-19 20:59:48 90 0
2 条回答
写回答
取消 提交回答
  • 算精通
    北京阿里云ACE会长

    在容器服务 ACK 中,您可以使用阿里云的网络策略(Network Policy)功能,对 FQDN 实现访问白名单功能。具体步骤如下:

    创建网络策略:在容器服务 ACK 控制台中,创建一个网络策略对象,并定义相应的规则。规则可以基于 IP 地址、端口、协议等属性进行匹配,以限制访问。您可以使用阿里云的网络策略控制器,将网络策略应用到容器服务 ACK 集群中。

    定义 FQDN 访问规则:在网络策略中,您可以定义一条 FQDN 访问规则,以限制对指定域名的访问。具体来说,您可以在规则中指定 FQDN 域名,以及允许的 IP 地址或 IP 段,以限制访问。例如,可以定义以下规则:

    yaml
    Copy
    apiVersion: networking.k8s.io/v1
    kind: NetworkPolicy
    metadata:
    name: allow-fqdn-access
    spec:
    podSelector: {}
    policyTypes:

    • Ingress
      ingress:
    • from:
      • ipBlock:
        cidr: 10.0.0.0/8
      • namespaceSelector:
        matchLabels:
        app: nginx
        ports:
      • protocol: TCP
        port: 80
    • from:
      • ipBlock:
        cidr: 192.168.0.0/16
      • namespaceSelector:
        matchLabels:
        app: mysql
        ports:
      • protocol: TCP
        port: 3306
        在上述例子中,定义了两个 FQDN 访问规则,分别限制了对 nginx 和 mysql 服务的访问。其中,ipBlock 指定了允许访问的 IP 地址段,namespaceSelector 指定了允许访问的命名空间。您可以根据实际需要,进行相应的修改和优化。
    2023-07-29 09:03:41
    赞同 展开评论 打赏
  • Star时光

    在容器服务 ACK 中,要使用阿里云的 Terway CNI(Container Network Interface)来实现对 FQDN(Fully Qualified Domain Name)的访问白名单功能,可以按照以下步骤进行配置:

    1. 安装和配置 Terway CNI:

      • 在创建或更新 ACK 集群时,选择 Terway CNI 作为网络插件。
      • 根据官方文档指引,执行相应的安装和配置步骤,确保 Terway CNI 正常运行。

    2. 创建 Network Policy 白名单规则:

      • 使用 Kubernetes 的 Network Policy 功能来定义网络策略,限制 Pod 之间的通信。

      • 编写一个 Network Policy YAML 文件,定义允许访问的 FQDN 列表。例如:

        apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: whitelist-policy
spec:
  podSelector: {}
  policyTypes:
  - Ingress
  ingress:
  - from:
    - namespaceSelector: {}
      podSelector: {}
    ports:
    - protocol: TCP
      port: 80
    - protocol: TCP
      port: 443
    - protocol: TCP
      port: 53
    - protocol: UDP
      port: 53
    - protocol: ICMP

      • from 部分添加需要允许访问的源 Namespace 或 Pod 的选择器,以及需要打开的端口和协议。

      • 确保该 Network Policy 被应用到正确的 Namespace 中。

    3. 验证配置:

      • 部署和启动需要访问白名单的应用程序,并确保它们所在的 Pod 符合 Network Policy 规则。
      • 尝试从 Pod 访问 FQDN,检查是否被限制仅允许访问白名单中的域名。

    需要注意的是,Terway CNI 作为容器服务 ACK 的网络插件,可以通过 Kubernetes 的 Network Policy 来实现基于 Pod 的访问控制。但是 Terway CNI 自身并不直接支持对 FQDN 的访问白名单功能。因此,在配置 Network Policy 时,需要考虑 FQDN 的解析和匹配方式。

    2023-07-28 12:53:59
    赞同 展开评论 打赏
问答分类:
容器服务Kubernetes版 容器计算服务
问答标签:
容器服务Kubernetes版访问 容器服务Kubernetes版阿里云 容器服务Kubernetes版功能 容器服务ACK访问 容器服务阿里云
问答地址:
开发者社区 > 云原生 > 容器服务 > 问答
相关产品:
容器服务Kubernetes版

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关问答
k8s的自动扩容功能,只是基于节电池里的节点服务器吗?正常情况下,一个节点上可以独立运行多个容器吗?
38
1
0
容器服务ACK中容器内无法访问外网,如何排查和解决?
41
0
0
ask 容器重新部署后内网ip变了,导致slb访问失败,如何解决?
19
0
0
函数计算 fc 可以访问 ack 的服务吗?
20
1
0
容器服务ACK给k8s pod配置了域名,访问报503,有哪位老师知道是什么问题呢?
43
1
0
容器镜像在哪?怎么访问和管理?
69
1
0
容器镜像加速功能有啥作用?
79
1
0
容器服务ACK两个ACK集群中的服务可以相互访问吗?
89
2
0
Nacos2.2.3版本容器化部署,通过ie浏览器访问,登录页加载不出来?
63
1
0
Nacos2.2.3版本容器化部署,通过ie浏览器访问,登录页出不来是咋回事?
85
1
0
云原生

容器服务

国内唯一 Forrester 公共云容器平台领导者象限。

我要提问

相关产品

  • 容器服务Kubernetes版
    文档详情 产品详情

    • 热门讨论

    热门文章

  • 怎么查看registry.aliyuncs.com/google_containers都有哪些镜像
    7725
  • registry.aliyuncs.com/google_containers这个镜像仓库都有啥镜像
    1607
  • 使用自建Docker下载镜像慢,配置的镜像加速器为容器镜像服务提供的阿里镜像加速器
    1069
  • 阿里云发布的全球首个容器计算服务ACS,和已有的ASK有什么区别
    1173
  • 服务 和 容器 是什么关系
    6037
  • 容器服务ACK的k8s的出口IP地址在哪里看来着?
    494
  • 容器服务ACK的节点机,磁盘空间被占满,直接使用crictl清理不用的镜像会影响kubelet么?
    471
  • 通过阿里云镜像 怎么会403? yum install -y kubelet kubeadm kub
    1996
  • 什么是aks,具体内容是什么?
    169
  • CSK中容器启动项的含义和作用
    5851
    • 展开全部
  • Docker 镜像加速器
    406238
  • Docker CE 镜像源站
    437435
  • Minikube - Kubernetes本地实验环境
    234295
  • Docker的Windows容器初体验
    101224
  • Docker学习路线图 (持续更新中)
    88386
  • 利用Zipkin对Spring Cloud应用进行服务追踪分析
    62422
  • 基于Docker容器的,Jenkins、GitLab构建持续集成CI
    51365
  • 谈谈 Docker Volume 之权限管理(一)
    56750
  • 容器镜像服务 Docker镜像的基本使用
    51990
  • 使用阿里云容器服务Jenkins 2.0实现持续集成之Pipeline篇(updated on 2016.12.23)
    40911
    • 展开全部

    相关课程

    更多
  • 5分钟玩转阿里云容器服务
    5143
    41
    去学习
  • 容器持久化储存训练营
    460
    3
    去学习
  • 现代应用容器技术快速入门
    1173
    4
    去学习
  • 云计算、容器和云原生基础课程
    2624
    2
    去学习
  • Serverless 容器从入门到精通: - Serverless Kubernetes
    1293
    7
    去学习
  • 容器安全与Palo Alto Networks解决方案
    701
    12
    去学习

    • 相关文章

  • 使用Kmesh作为阿里云服务网格ASM Sidecarless模式数据面
  • 网络空间安全之一个WH的超前沿全栈技术深入学习之路(9-2):WireShark 简介和抓包原理及实战过程一条龙全线分析——就怕你学成黑客啦!
  • 网络空间安全之一个WH的超前沿全栈技术深入学习之路(8-2):scapy 定制 ARP 协议 、使用 nmap 进行僵尸扫描-实战演练、就怕你学成黑客啦!
  • Kubernetes入门:搭建高可用微服务架构
  • 云端迁移:备份中心助力企业跨云迁移K8s容器服务平台

    • 相关电子书

    更多
    • 聚石塔电商云容器服务应用和实践 立即下载
    基于阿里云容器服务 实现Serverless服务 立即下载
    《边缘容器服务ACK@Edge》 立即下载

    相关实验场景

    更多
  • 使用阿里云容器服务和容器网络文件系统搭建WordPress网站
    1002
    1.0小时
    去实验
  • 容器镜像管理命令
    2478
    1.0小时
    去实验
  • 容器的网络入门
    2484
    1.0小时
    去实验
  • 容器的自定义网络
    2851
    1.0小时
    去实验
  • 容器的共享网络模型
    1695
    1.0小时
    去实验
  • 容器的启动和操作
    6747
    1.0小时
    去实验

    • 相关镜像

  • kubernetes
  • pouch
  • ceph