S
Ещё есть вариант использовать такие продукты как cisco aci или VMware nsx t, но это надо тестировать)
Size: a a a
2020 July 26
С
Это должно быть не на уровне "этот айпи" в "этот айпи", а на уровне выше "сервис а в сервис б"
Это всё через kubernetes network policies, средствами саого облака, т.к. только оно знает, где и что запустило и на каком IP
S
L7 fw это дорого конечно
GG
Вообще кроме как прибивать ip к подам по другому не получится фильтровать, либо использовать l7 fw
Айпи к подам - это так не работает. Тебе тогда уж прибивать поды к конкретным нодам. С которых разрешен доступ в сервис ХХХ, но вообще это дичь, кмк
S
Это всё через kubernetes network policies, средствами саого облака, т.к. только оно знает, где и что запустило и на каком IP
Либо средства, которые умеют с ним интегрироваться
GG
Это всё через kubernetes network policies, средствами саого облака, т.к. только оно знает, где и что запустило и на каком IP
Ну, получается, что да
S
Айпи к подам - это так не работает. Тебе тогда уж прибивать поды к конкретным нодам. С которых разрешен доступ в сервис ХХХ, но вообще это дичь, кмк
Именно это и имел ввиду, согласен - дичь))
GG
Просто история в том, что помимо кубера и Клауд сервисов есть ещё всякие внешние интеграции, которые описаны по-тупому. Ну, типа мы хотим интеграцию с телеграмм.
GG
Значит, либо список айпи, либо днс (который может матчиться в разные айпи в разные моменты времени), либо 0.0.0.0/0 (и чего мы тогда делаем ?)
С
Там 90% будет HTTP(s), можно посмотреть на прокси
S
Значит, либо список айпи, либо днс (который может матчиться в разные айпи в разные моменты времени), либо 0.0.0.0/0 (и чего мы тогда делаем ?)
По днс сетевые политики в кубере не работают, к сожалению
GG
А если не хттпс ?
GG
По днс сетевые политики в кубере не работают, к сожалению
Угу
GG
Но мы хитрее сделали - мы тупо через externalname kind:service затащили внешние ресурсы в кубер. Хз, что там с балансировкой будет, но по крайне мере это явно визуализирует внешние зависимости как кубер ресурс
GG
Бери и строй диаграмму )
GG
Ещё есть вариант использовать такие продукты как cisco aci или VMware nsx t, но это надо тестировать)
Ну, либо да - калико выкинуть, и тупо назначать адреса из какой-то плоской сети
S
Использовать только ip адреса, не очень классно
RR
externalname это ж простой CNAME по факту - он ничего не запрещает
RR
А если не хттпс ?
тогда жопа)
GG
externalname это ж простой CNAME по факту - он ничего не запрещает
Зато видно (!)