înregistrare Logare
Puncte:1
solveit avatar Server

Politica de rețea Calico în Kubernetes, bazată pe numele domeniului și caracterul Wildcard

drapel ar
solveit

Am o aplicație care rulează cu Kubernetes Orchestrator. Vreau să implementez politica de rețea calico pe baza numelui de domeniu sau a caracterelor wildcard, astfel încât numele de domenii (FQDN/DNS) poate fi folosit pentru a permite accesul de la un pod sau un set de pod-uri (prin selector de etichete).

Am dat peste calico doc care spune același lucru, dar nu sunteți sigur dacă este gratuit sau plătit? Poate cineva confirma asta? de asemenea, de unde pot obține un exemplu în acest sens?

1061
1 + 0
Puncte:1
moonkotte avatar Server
drapel in
moonkotte

Politica DNS este o funcție plătită, deoarece face parte din Calico Enterprise și Calico Cloud. Puteți verifica acest lucru Aici.

Comparație completă a caracteristicilor între calico open source, cloud și enterprise

În ceea ce privește exemplele, este adesea foarte dificil să găsești exemple de lucru pentru produse plătite, totuși am reușit să găsesc un exemplu simplu despre cum va arăta:

apiVersion: projectcalico.org/v3
fel: GlobalNetworkPolicy
metadate:
  nume: security.allow-external-dns-egress
specificație:
  nivel: securitate
  selector: 'projectcalico.org/namespace == "dev" && app == "centos"'
  comanda: 90
  tipuri:
    - Ieșire
  ieşire:
  - acțiune: Permite
    protocol: UDP
    sursă: {}
    destinaţie:
      porturi:
      - '53'
      # port dns openshift
      - „5353”
  - acțiune: Permite
    sursă:
      selector: app == 'centos'
    destinaţie:
      domenii:
      - „*.google.com”
      - „google.com”
  # această regulă este necesară numai dacă nu există nicio politică care să treacă tot traficul nepotrivit la nivelul următor
  # - acțiune: Treci
  #   sursă: {}
  # destinație: {}

Link la acest exemplu de mai sus în Calico github

Ideea este să nu permiteți niciun trafic de ieșire către niciun domeniu, în afară de google.com

Este arătat cum ar trebui să funcționeze în exemplu.

0 + 4
solveit avatar
drapel ar
solveit
va funcționa acest exemplu deoarece este în pachetul enterprise? Vreau să implementez o politică de rețea bazată pe domeniu folosind CIDR, credeți că Kubernetes DNSelector [https://github.com/kubernetes/kubernetes/issues/50453] ar putea ajuta?
0
Răspunde
moonkotte avatar
drapel in
moonkotte
Acest lucru va funcționa dacă utilizați calico enterprise, nu există alte opțiuni pentru a avea această funcționare ca aceasta. De asemenea, pentru ultima stare au sugerat folosirea „calico cni” pentru aceasta - vezi [acest comentariu](https://github.com/kubernetes/kubernetes/issues/50453#issuecomment-368334028)
0
Răspunde
solveit avatar
drapel ar
solveit
Ce zici de serviciul DNS Kubernetes https://kubernetes.io/docs/concepts/services-networking/dns-pod-service/ pentru a controla apelurile de ieșire? Cu un server dns pe care îl pot integra cu k3s și să folosesc acest serviciu?
0
Răspunde
moonkotte avatar
drapel in
moonkotte
Aceasta este o întrebare diferită și ar trebui să vă gândiți să o puneți separat pentru a respecta regulile StackExchange. Vă rugăm să consultați [O postare cu mai multe întrebări sau mai multe postări?](https://meta.stackexchange.com/questions/39223/one-post-with-multiple-questions-or-multiple-posts)
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.