Kubernetes で NFS サーバーを保護する方法

Kubernetes で NFS サーバーを保護する方法

私は Kubernetes で NFS サーバーを実行しており、この NFS サーバーを PVC プロビジョナーにのみ使用しています。したがって、PVC プロビジョナーではない、またはプロビジョナーによってプロビジョニングされた NFS ボリュームを使用しない別のポッドは、実際には NFS サーバーにアクセスできる必要はありません。ただし、すべてのポッドは (サービスを通じて) NFS サーバーにアクセスできます。NFS を使用するポッドのみに NFS へのアクセスを制限する方法はありますか?

答え1

IPアドレスまたはポートレベル(OSIレイヤー3または4)でトラフィックフローを制御したい場合は、クラスター内の特定のアプリケーションに対してKubernetesネットワークポリシーを使用することを検討してください。この場合、唯一の可能な解決策は、ネットワークポリシーNFS ポッドのみを含む別の名前空間を使用するか、IP ブロックを使用する必要があります (例外: ポッドまたはノードの IP アドレスに関係なく、ポッドが実行されているノードとの間のトラフィックは常に許可されます)。

関連情報