1
我試圖從另一個隔離服務。Google容器引擎子網
假設OPS人有一堆關於谷歌集裝箱引擎運行MySQL的商店,並DEV-人有一堆相同的羣集上運行的應用程序節點的。我不希望dev-human能夠以任何方式訪問任何ops-human的 mysql實例。
最簡單的解決方案:把它們放在不同的子網中。我該如何做這樣的事情?我也接受其他實現。
A
回答
1
Kubernetes Network-SIG團隊一直在研究網絡隔離問題,並且在kubernetes 1.2中有一個實驗性的API來支持這個問題。基本思想是在每個名稱空間的基礎上提供網絡策略。第三方網絡控制器可以對資源的變化做出反應並執行策略。有關詳細信息,請參閱最後的blog post關於此主題。
編輯:這個答案更多的是關於開源kubernetes,不是專門針對GKE。
0
NetworkPolicy資源現在在Alpha羣集中的GKE中可用(see latest blog post)。
相關問題
- 1. Google容器引擎:訪問雲存儲
- 2. Google容器引擎中的MaxGCEPDVolumeCount
- 3. Google容器引擎初始化腳本
- 4. Google容器引擎(Kubernetes)和OAuth2回調
- 5. 彈性Google容器引擎羣集?
- 6. Google容器引擎和容器優化計算引擎有什麼區別?
- 7. 以編程方式在Google容器引擎上運行容器
- 8. 阻止從Google容器引擎中的容器訪問Kubernetes API
- 9. 容器引擎Websockets瓶頸
- 10. 網站加載器引擎
- 11. Google App引擎:公開IP地址子網用於白名單
- 12. Blob download_as_string Google容器引擎上的SSL錯誤
- 13. 如何在Google容器引擎中啓用插件?
- 14. Kubernetes HTTPS在Google容器引擎中的Ingress
- 15. 如何在Google容器引擎上創建一個kubernetes NFS卷
- 16. kubectl訪問Google雲容器引擎失敗
- 17. Google容器引擎是否啓用CFS cpu配額?
- 18. Google容器引擎(Kubernetes):Websocket(Socket.io)不適用於多個副本
- 19. Kubernetes vs Google容器引擎:如何使用自動縮放?
- 20. Google容器引擎新集羣似乎失敗
- 21. Google Compute引擎上的雲代工廠不能創建容器
- 22. Google容器引擎 - 如何配置要保留的日誌量?
- 23. Kubernaties無法在Google容器引擎上安裝NFS FS
- 24. Postgres問題 - Google容器引擎上的Ruby on Rails(Postgres)
- 25. 如何ssh進入Google容器引擎集羣的節點?
- 26. Google容器引擎節點可以訪問數據存儲嗎?
- 27. Google容器引擎實例是否可通過DNS訪問?
- 28. Google容器引擎(GKE)使用什麼圖像?
- 29. 更改Google容器引擎的日誌記錄默認值
- 30. Google容器引擎中的彙總日誌中的LogSeverity
如果您將它們放在不同的[名稱空間](http://kubernetes.io/docs/admin/namespaces/)中,問題是否解決? – caesarxuchao
@caesarxuchao命名空間可以防止用戶錯誤(或只是簡單的配置),例如命名每個數據庫只是「db」。然後將找到該名稱空間中的本地「db」。但是,如果您使用FQDN並且擁有像Kubernetes一樣使用的平面網絡,則可以在名稱空間之外訪問其他資源。最好不要讓dev和ops在同一個集羣上運行:如果dev產生一些推出ops所需資源的新代碼,該怎麼辦? –