Ich betreibe einen NFS-Server in Kubernetes und verwende diesen NFS-Server nur für den PVC-Provisioner. Andere Pods, die kein PVC-Provisioner sind oder kein vom Provisioner bereitgestelltes NFS-Volume verwenden, müssen also eigentlich nicht auf den NFS-Server zugreifen können. Aber jeder Pod kann auf den NFS-Server zugreifen (über den Dienst). Gibt es eine Möglichkeit, den Zugriff auf NFS nur für NFS-verwendende Pods einzuschränken?
Antwort1
Wenn Sie den Verkehrsfluss auf IP-Adress- oder Portebene (OSI-Schicht 3 oder 4) steuern möchten, sollten Sie Kubernetes NetworkPolicies für bestimmte Anwendungen in Ihrem Cluster verwenden. In diesem Fall ist die einzige mögliche Lösung die Verwendung vonNetzwerkrichtlinien, entweder müssen Sie separate Namespaces verwenden, die nur NFS-Pods enthalten, oder Sie können IP-Blöcke verwenden (Ausnahme: Datenverkehr zum und vom Knoten, auf dem ein Pod ausgeführt wird, ist immer zulässig, unabhängig von der IP-Adresse des Pods oder des Knotens).