1
我试图从另一个隔离服务。Google容器引擎子网
假设OPS人有一堆关于谷歌集装箱引擎运行MySQL的商店,并DEV-人有一堆相同的群集上运行的应用程序节点的。我不希望dev-human能够以任何方式访问任何ops-human的 mysql实例。
最简单的解决方案:把它们放在不同的子网中。我该如何做这样的事情?我也接受其他实现。
A
回答
1
Kubernetes Network-SIG团队一直在研究网络隔离问题,并且在kubernetes 1.2中有一个实验性的API来支持这个问题。基本思想是在每个名称空间的基础上提供网络策略。第三方网络控制器可以对资源的变化做出反应并执行策略。有关详细信息,请参阅最后的blog post关于此主题。
编辑:这个答案更多的是关于开源kubernetes,不是专门针对GKE。
0
NetworkPolicy资源现在在Alpha群集中的GKE中可用(see latest blog post)。
相关问题
- 1. Google容器引擎:访问云存储
- 2. Google容器引擎中的MaxGCEPDVolumeCount
- 3. Google容器引擎初始化脚本
- 4. Google容器引擎(Kubernetes)和OAuth2回调
- 5. 弹性Google容器引擎群集?
- 6. Google容器引擎和容器优化计算引擎有什么区别?
- 7. 以编程方式在Google容器引擎上运行容器
- 8. 阻止从Google容器引擎中的容器访问Kubernetes API
- 9. 容器引擎Websockets瓶颈
- 10. 网站加载器引擎
- 11. Google App引擎:公开IP地址子网用于白名单
- 12. Blob download_as_string Google容器引擎上的SSL错误
- 13. 如何在Google容器引擎中启用插件?
- 14. Kubernetes HTTPS在Google容器引擎中的Ingress
- 15. 如何在Google容器引擎上创建一个kubernetes NFS卷
- 16. kubectl访问Google云容器引擎失败
- 17. Google容器引擎是否启用CFS cpu配额?
- 18. Google容器引擎(Kubernetes):Websocket(Socket.io)不适用于多个副本
- 19. Kubernetes vs Google容器引擎:如何使用自动缩放?
- 20. Google容器引擎新集群似乎失败
- 21. Google Compute引擎上的云代工厂不能创建容器
- 22. Google容器引擎 - 如何配置要保留的日志量?
- 23. Kubernaties无法在Google容器引擎上安装NFS FS
- 24. Postgres问题 - Google容器引擎上的Ruby on Rails(Postgres)
- 25. 如何ssh进入Google容器引擎集群的节点?
- 26. Google容器引擎节点可以访问数据存储吗?
- 27. Google容器引擎实例是否可通过DNS访问?
- 28. Google容器引擎(GKE)使用什么图像?
- 29. 更改Google容器引擎的日志记录默认值
- 30. Google容器引擎中的汇总日志中的LogSeverity
如果您将它们放在不同的[名称空间](http://kubernetes.io/docs/admin/namespaces/)中,问题是否解决? – caesarxuchao
@caesarxuchao命名空间可以防止用户错误(或只是简单的配置),例如命名每个数据库只是“db”。然后将找到该名称空间中的本地“db”。但是,如果您使用FQDN并且拥有像Kubernetes一样使用的平面网络,则可以在名称空间之外访问其他资源。最好不要让dev和ops在同一个集群上运行:如果dev产生一些推出ops所需资源的新代码,该怎么办? –