postgresql - 如何阻止来自Kubernetes中其他 namespace 的到DB Pod和服务(DNS)的流量？-6ren

postgresql - 如何阻止来自Kubernetes中其他 namespace 的到DB Pod和服务(DNS)的流量？

转载作者：行者123 更新时间：2023-12-02 12:11:34

35

4

我已经在2个命名空间中创建了2个租户(tenant1，tenant2)tenant1-namespace，tenant2-namespace

每个租户都有db pod及其服务

如何隔离数据库Pod /服务，即如何限制其 namespace 中的Pod /服务访问其他租户数据库Pod？

我已经为每个租户使用了服务帐户并应用了网络策略，以便隔离 namespace 。

kubectl get svc --all-namespaces

tenant1-namespace   grafana-app            LoadBalancer   10.64.7.233    104.x.x.x   3000:31271/TCP   92m
tenant1-namespace   postgres-app           NodePort       10.64.2.80     <none>      5432:31679/TCP   92m
tenant2-namespace   grafana-app            LoadBalancer   10.64.14.38    35.x.x.x    3000:32226/TCP   92m
tenant2-namespace   postgres-app           NodePort       10.64.2.143    <none>      5432:31912/TCP   92m

所以

我想限制grafana-app仅在他的 namespace 中使用他的postgres db，而不在其他 namespace 中使用。

但是问题是使用DNS限定服务名称( app-name.namespace-name.svc.cluster.local)
它允许彼此访问数据库pod(命名空间tenant1-namespace中的grafana-app可以通过 postgres-app.tenant2-namespace.svc.cluster.local访问其他tenant2-namespace中的postgres db

更新:网络策略

1)

kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
  name: deny-from-other-namespaces
spec:
  podSelector:
    matchLabels:
  ingress:
  - from:
    - podSelector: {}

2)

kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
  name: web-allow-external
spec:
  podSelector:
    matchLabels:
      app: grafana-app
  ingress:
  - from: []

最佳答案

您的NetworkPolicy对象是正确的，我为它们创建了一个示例，并将演示波纹管。

如果您仍然可以使用FQDN访问另一个 namespace 上的服务的，则可能未在集群上完全启用。

运行 NetworkPolicy并查找以下两个片段:

在描述的开头，它显示是否在Master级别上启用了NetworkPolicy插件，它应该像这样:

addonsConfig:
networkPolicyConfig: {}

在说明的中间，您可以找到是否在节点上启用了NetworkPolicy的。它应该看起来像这样:

name: cluster-1
network: default
networkConfig:
 network: projects/myproject/global/networks/default
 subnetwork: projects/myproject/regions/us-central1/subnetworks/default
networkPolicy:
 enabled: true
 provider: CALICO

如果以上任何一项不同，请在此处检查:How to Enable Network Policy in GKE

复制:
我将创建一个简单的示例，将对tenant1使用gcloud container clusters describe "CLUSTER_NAME" --zone "ZONE"图像，对tenant2使用gcr.io/google-samples/hello-app:1.0，因此查看连接位置更简单，但我将使用您的环境名称:
$ kubectl create namespace tenant1 namespace/tenant1 created $ kubectl create namespace tenant2 namespace/tenant2 created $ kubectl run -n tenant1 grafana-app --generator=run-pod/v1 --image=gcr.io/google-samples/hello-app:1.0 pod/grafana-app created $ kubectl run -n tenant1 postgres-app --generator=run-pod/v1 --image=gcr.io/google-samples/hello-app:1.0 pod/postgres-app created $ kubectl run -n tenant2 grafana-app --generator=run-pod/v1 --image=gcr.io/google-samples/hello-app:2.0 pod/grafana-app created $ kubectl run -n tenant2 postgres-app --generator=run-pod/v1 --image=gcr.io/google-samples/hello-app:2.0 pod/postgres-app created $ kubectl expose pod -n tenant1 grafana-app --port=8080 --type=LoadBalancer service/grafana-app exposed $ kubectl expose pod -n tenant1 postgres-app --port=8080 --type=NodePort service/postgres-app exposed $ kubectl expose pod -n tenant2 grafana-app --port=8080 --type=LoadBalancer service/grafana-app exposed $ kubectl expose pod -n tenant2 postgres-app --port=8080 --type=NodePort service/postgres-app exposed $ kubectl get all -o wide -n tenant1 NAME READY STATUS RESTARTS AGE IP NODE pod/grafana-app 1/1 Running 0 100m 10.48.2.4 gke-cluster-114-default-pool-e5df7e35-ez7s pod/postgres-app 1/1 Running 0 100m 10.48.0.6 gke-cluster-114-default-pool-e5df7e35-c68o NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE SELECTOR service/grafana-app LoadBalancer 10.1.23.39 34.72.118.149 8080:31604/TCP 77m run=grafana-app service/postgres-app NodePort 10.1.20.92 <none> 8080:31033/TCP 77m run=postgres-app $ kubectl get all -o wide -n tenant2 NAME READY STATUS RESTARTS AGE IP NODE pod/grafana-app 1/1 Running 0 76m 10.48.4.8 gke-cluster-114-default-pool-e5df7e35-ol8n pod/postgres-app 1/1 Running 0 100m 10.48.4.5 gke-cluster-114-default-pool-e5df7e35-ol8n NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE SELECTOR service/grafana-app LoadBalancer 10.1.17.50 104.154.135.69 8080:30534/TCP 76m run=grafana-app service/postgres-app NodePort 10.1.29.215 <none> 8080:31667/TCP 77m run=postgres-app
现在，我们部署两个规则:第一个规则阻止来自命名空间外部的所有流量，第二个允许从命名空间外部进入gcr.io/google-samples/hello-app:2.0:
$ cat default-deny-other-ns.yaml kind: NetworkPolicy apiVersion: networking.k8s.io/v1 metadata: name: deny-from-other-namespaces spec: podSelector: matchLabels: ingress: - from: - podSelector: {} $ cat allow-grafana-ingress.yaml kind: NetworkPolicy apiVersion: networking.k8s.io/v1 metadata: name: web-allow-external spec: podSelector: matchLabels: run: grafana-app ingress: - from: []
让我们回顾Network Policy Isolation的规则:

By default, pods are non-isolated; they accept traffic from any source.

Pods become isolated by having a NetworkPolicy that selects them. Once there is any NetworkPolicy in a namespace selecting a particular pod, that pod will reject any connections that are not allowed by any NetworkPolicy. (Other pods in the namespace that are not selected by any NetworkPolicy will continue to accept all traffic.)

Network policies do not conflict; they are additive. If any policy or policies select a pod, the pod is restricted to what is allowed by the union of those policies' ingress/egress rules. Thus, order of evaluation does not affect the policy result.

然后，我们将规则应用于两个 namespace ，因为规则的范围是它分配给的 namespace :
$ kubectl apply -n tenant1 -f default-deny-other-ns.yaml networkpolicy.networking.k8s.io/deny-from-other-namespaces created $ kubectl apply -n tenant2 -f default-deny-other-ns.yaml networkpolicy.networking.k8s.io/deny-from-other-namespaces created $ kubectl apply -n tenant1 -f allow-grafana-ingress.yaml networkpolicy.networking.k8s.io/web-allow-external created $ kubectl apply -n tenant2 -f allow-grafana-ingress.yaml networkpolicy.networking.k8s.io/web-allow-external created
现在进行最终测试，我将在grafana-app中的grafana-app内登录，并尝试在两个命名空间中均到达tenant1并检查输出:
$ kubectl exec -n tenant1 -it grafana-app -- /bin/sh / ### POSTGRES SAME NAMESPACE ### / # wget -O- postgres-app:8080 Connecting to postgres-app:8080 (10.1.20.92:8080) Hello, world! Version: 1.0.0 Hostname: postgres-app / ### GRAFANA OTHER NAMESPACE ### / # wget -O- --timeout=1 http://grafana-app.tenant2.svc.cluster.local:8080 Connecting to grafana-app.tenant2.svc.cluster.local:8080 (10.1.17.50:8080) Hello, world! Version: 2.0.0 Hostname: grafana-app / ### POSTGRES OTHER NAMESPACE ### / # wget -O- --timeout=1 http://postgres-app.tenant2.svc.cluster.local:8080 Connecting to postgres-app.tenant2.svc.cluster.local:8080 (10.1.29.215:8080) wget: download timed out
您可以看到DNS已解析，但是networkpolicy阻止了对后端Pod的访问。

如果仔细检查后在主节点和节点上启用了NetworkPolicy，您仍然会遇到相同的问题，请在评论中告知我，我们可以进一步进行深入研究。

关于postgresql - 如何阻止来自Kubernetes中其他 namespace 的到DB Pod和服务(DNS)的流量？，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/62466505/

35

4

0

文章推荐： nginx - 在没有端口的情况下访问Istio部署的网站

文章推荐： android - 单元测试新的 Kotlin 协程 StateFlow

文章推荐： generics - 是否可以在泛型方法中指定任意可变参数列表？

postgresql - 将旧表从已删除的 postgresql 导入到新安装的 postgresql
我的 postgresql 有问题，我复制了所有文件，然后将其删除。然后，我安装了新的，问题就解决了。现在可以将旧文件和文件导入新文件吗？最佳答案如果它们是相同的主要版本(即 9.0 到 9.0.
postgresql - postgresql 服务器启动时，postgresql 中是否有任何系统表自动更新？
我想使用 Postgresql 9.2.2 来存储我的应用程序的数据。我不得不构建一个应该基于数据库级别的触发器(当数据库启动时，这个触发器将被触发并执行。)，当 postgresql 服务器启动时是
postgresql - 如何从 Postgresql 目录表中检索 Postgresql 序列缓存值？
我已经使用下面的查询从 Postgresql 目录表中获取 Sequence 对象的完整信息 select s.sequence_name, s.start_value, s.minimum_valu
postgresql - 执行函数从本地 PostgreSQL 数据库返回远程 PostgreSQL 数据库中的数据
Postgres 版本:9.3.4 我需要执行驻留在远程数据库中的函数。该函数根据给定的参数返回一个统计数据表。我实际上只是在我的本地数据库中镜像该函数，以使用我的数据库角色和授权来锁定对该函数的访
postgresql - 在没有 postgresql-server 的情况下重启 PostgreSQL
我在 CentOS 7 上，我正在尝试解决“PG::ConnectionBad: FATAL: Peer authentication failed for user”错误。所以我已经想出我应该更改
postgresql - Postgresql - 使用动态列名触发
我写了一个触发器函数，在触发器表列名上循环，我从具有不同列的不同表调用该函数。该函数将列名插入到数组中并在它们上循环，以便将值插入到另一个模式和表中。函数和触发器创建脚本: DROP TRIGGER
postgresql - PostgreSQL 的默认空闲连接超时值是多少
PostgreSQL 的默认空闲连接超时是多少，我运行了 show idle_in_transaction_session_timeout 查询并返回了 0，但是值 0 表示此选项被禁用，但我想知道默
postgresql - Postgresql 中十六进制值的适当数据类型？
我需要将十六进制值存储到数据库表中，谁能推荐我需要用于属性的数据类型？提前致谢最佳答案您可以使用bytea 来存储十六进制格式。更多信息 can be found in the postgres
postgresql - Postgresql 中是否需要对复合主键的一部分进行索引？
我有一个具有复合主键的(大)表，由 5 列(a、b、c、d、e)组成。我想高效地选择具有其中两列 (a + e) 的所有行到给定值。在 PostgreSQL 中，我需要索引吗？或者数据库会使用主键
postgresql - PostgreSQL 如何在内部存储日期时间类型
在阅读 PostreSQL (13) 文档时，我遇到了 this页面，其中列出了不同日期时间类型的存储大小。除其他外，它指出: Name Storag
postgresql - PostgreSQL 中批量插入的最佳大小
我有两个大整数的巨大表(500 000 000 行)。两列都被单独索引。我正在使用语法批量插入此表: INSERT into table (col1, col2) VALUES(x0, y0), (x
postgresql - 无法启动 PostgreSQL
有一台 CentOS7 Linux 机器正在运行(不是由我管理；拥有有限的权限)。请求在其中设置 PostgreSQL。刚刚从 CentOS 存储库安装了 PostgreSQL: sudo yum
postgresql - 是否可以在不破坏现有数据库的情况下安装 Postgresql？
我在 Ubuntu 18.04 上安装了 Postgresql 10，但不知何故坏了，不会重新启动。我可以重新安装它而不破坏它的数据库，以便我可以再次访问数据库吗？ pg_dump 不起作用。最佳答
postgresql - postgresql 中的自动备份创建空备份
我想在 UNIX 中使用 crontab 自动备份 PostgreSQL 数据库。我已经尝试过，但它会创建 0 字节备份。我的 crontab 条目是: 24 * * * * /home/desk
postgresql - 允许远程连接 postgresql
我已经完成了PG服务器的安装。我希望能够使用 pgAdmin 远程连接到它，但不断收到服务器不听错误。 could not connect to server: Connection refused
PostgreSQL:PostgreSQL 支持波斯历吗？
Oracle 支持波斯历但需要知道 PostgreSQL 是否支持波斯历？如果是，那么我们如何在 PostgreSQL 中将默认日历类型设置为 Persian 而不是 Gregorian(在 Ora
postgresql - PostgreSQL 模式的命名空间版本以实现向后兼容性？
假设我们有一个带有表的 SQL 数据库 Person以及访问它的几个应用程序。出于某种原因，我们想修改 Person表以向后不兼容的方式。保持兼容性的一种潜在解决方案是将表重命名为 User并创建一
postgresql - PostgreSQL 中的模式是物理对象吗？
我使用 PostgreSQL 中的模式来组织我庞大的会计数据库。每年年底，我都会通过为下一年创建一个新模式来进行协调过程。新模式的文件是否与旧模式物理分离？或者所有模式一起存储在硬盘上？这对我来说
postgresql - PostgreSQL autovacuum中的autovacuum_vacuum_cost_delay是什么？
我正在尝试使用配置文件中的以下配置参数调整 PostgreSQL 服务器: autovacuum_freeze_max_age = 500000000 autovacuum_max_workers =
postgresql - 如何仅查询具有表情符号的数据(postgresql)
我的数据包含数据库列中的表情符号，即 message_text ------- 🙂 😀 Hi 😀 我只想查询包含表情符号的数据的行。在 postgres 中是否有一种简单的方法可以做到这一点？

首页

博学

6Ren·AI

商城

postgresql - 如何阻止来自Kubernetes中其他 namespace 的到DB Pod和服务(DNS)的流量？