- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
TL;DR Kubernetes 允许所有容器访问整个集群上的所有其他容器,这似乎大大增加了安全风险。如何缓解?
与Docker不同,通常只允许需要通信的容器之间的网络连接(通过 --link
), Kubernetes 上的每个 Pod可以访问该集群上的所有其他 Pod。
这意味着对于在 Kubernetes 上运行的标准 Nginx + PHP/Python + MySQL/PostgreSQL,受损的 Nginx 将能够访问数据库。
人们过去常常在一台机器上运行所有这些,但是该机器会进行严格的定期更新(比容器更多),并且对于认真的人来说还有 SELinux/AppArmor。
可以通过让每个项目(例如,如果您有各种独立的网站)在自己的集群上运行每个项目来减轻一点风险,但这似乎很浪费。
当前Kubernetes security似乎很不完整。是否已经有一种方法可以保证生产的安全性?
最佳答案
在不久的将来,我们将在 Kubernetes 中引入网络策略控制。截至目前,它尚未集成,但一些供应商(例如 Weave、Calico)拥有可以与 Kubernetes 配合使用的策略引擎。
关于docker - 如何提高 Kubernetes 的安全性,尤其是 Pod 间的安全性?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/33432401/
根据 Android docs ,activity生命周期如下: onCreate() onStart() onResume() onPause() onStop() onDestroy() 问题是,
我有一门类(class)有很多专栏,但这个问题只需要其中三个: ---------------------------------------- | start_date | start_time
给定在同一个 Tomcat 6 上运行的两个 Web 应用程序。如果您从一个应用程序到另一个应用程序进行 http 调用,Tomcat 是否会“短路”此调用,或者它会在调用之前一直在 interweb
我是一名优秀的程序员,十分优秀!