Настраиваем дефолтные сетевые политики пода | OTUS
⚡ Подписка на курсы OTUS!
Интенсивная прокачка навыков для IT-специалистов!
Подробнее

Курсы

Программирование
Backend-разработчик на PHP
-9%
Алгоритмы и структуры данных
-9%
Team Lead
-6%
Архитектура и шаблоны проектирования Разработчик IoT
-13%
C# Developer. Professional
-9%
HTML/CSS
-11%
C# ASP.NET Core разработчик
-5%
Kotlin Backend Developer
-8%
iOS Developer. Professional
-8%
Symfony Framework C++ Developer. Professional Java Developer. Basic JavaScript Developer. Professional Базы данных Android Developer. Professional Framework Laravel Cloud Solution Architecture Highload Architect Reverse-Engineering. Professional Vue.js разработчик Agile Project Manager Интенсив «Оптимизация в Java» Супер - интенсив по паттернам проектирования Супер - интенсив по Kubernetes Супер-интенсив «СУБД в высоконагруженных системах» Супер-интенсив "Tarantool" PHP Developer. Basic
Инфраструктура
Administrator Linux.Basic
-10%
Мониторинг и логирование: Zabbix, Prometheus, ELK
-10%
Экспресс-курс «CI/CD или Непрерывная поставка с Docker и Kubernetes»
-30%
Administrator Linux. Professional
-6%
Дизайн сетей ЦОД
-13%
Разработчик IoT
-13%
Экспресс-курс по управлению миграциями (DBVC)
-10%
Основы Windows Server MS SQL Server Developer Разработчик программных роботов (RPA) на базе UiPath и PIX Microservice Architecture Reverse-Engineering. Professional Внедрение и работа в DevSecOps Супер-практикум по работе с протоколом BGP Супер - интенсив по паттернам проектирования Супер - интенсив по Kubernetes Экспресс-курс «IaC Ansible» Network engineer. Basic
Корпоративные курсы
Безопасность веб-приложений Пентест. Практика тестирования на проникновение Экспресс-курс «CI/CD или Непрерывная поставка с Docker и Kubernetes»
-30%
IT-Recruiter
-15%
Дизайн сетей ЦОД
-13%
Компьютерное зрение
-13%
Enterprise Architect
-6%
Экосистема Hadoop, Spark, Hive
-8%
Экспресс-курс по управлению миграциями (DBVC)
-10%
Основы Windows Server SRE практики и инструменты Cloud Solution Architecture Разработчик голосовых ассистентов и чат-ботов Agile Project Manager Супер-практикум по работе с протоколом BGP Infrastructure as a code in Ansible Супер-практикум по использованию и настройке GIT Промышленный ML на больших данных Супер-интенсив Azure Системный аналитик. Advanced
Специализации Курсы в разработке Подготовительные курсы
+7 499 938-92-02

Настраиваем дефолтные сетевые политики пода

Некоторые думают, что достаточно просто перенести приложение на Kubernetes (вручную или с помощью Helm), и будет счастье. Однако на деле не все так просто. Мы уже говорили про настройку запросов пода и лимитов, а также про тесты Liveness и Readiness. Пришло время рассказать о настройке дефолтных сетевых политик пода.

Если кто не знает, в Kubernetes «плоская» сетевая топография, то есть по дефолту все поды напрямую взаимодействуют друг с другом. Но иногда это нежелательно, т. к. существует потенциальная проблема безопасности. В чем же она заключается? В том, что у злоумышленника есть возможность использовать единственное уязвимое программное приложение с целью отправки трафика на все поды в сети. Здесь, как и во многих других областях информационной безопасности, является применимым принцип наименьших привилегий. В идеальном же случае сетевые политики должны в явном порядке указывать, какие именно соединения между подами разрешаются, а какие нет.

К примеру, ниже вы увидите простую политику, запрещающую весь входящий трафик для определенного пространства имен:

1-1801-b99dda.png

А теперь давайте посмотрим на визуализацию данной конфигурации:

1__eiVw43azgzYzyN1th7cZg_1-1801-6ea7c4.gif

Вот так вот. Если хотите получить больше информации на эту тему, вам сюда.

По материалам статьи «5 Things We Overlooked When Deploying Our First App on Kubernetes».

Не пропустите новые полезные статьи!

Спасибо за подписку!

Мы отправили вам письмо для подтверждения вашего email.
С уважением, OTUS!

Автор
0 комментариев
Для комментирования необходимо авторизоваться