Política de red de AKS no puede negar el tráfico al espacio de nombres

1. ¿Aks permite el tráfico de ingreso??
2. ¿Qué hace el podselector en NetworkPolicy?
3. ¿Kubernetes encripta el tráfico entre pods??
4. ¿Cuáles son las mejores prácticas de la política de red de Kubernetes??
5. ¿Cuál es la diferencia entre la salida y el tráfico de ingreso??
6. ¿Qué es el tráfico de entrada de red??
7. Está entrando o saliendo?
8. ¿Cómo separo el tráfico de red??
9. ¿Cómo se comunica entre contenedores en la misma vaina??
10. ¿Cómo se comunica entre dos vainas en Kubernetes??
11. ¿Cómo se comunica entre vainas en diferentes espacios de nombres??
12. ¿Pueden las vainas hablar en los espacios de nombres??
13. ¿Se pueden comunicar las vainas en el mismo espacio de nombres??
14. ¿Pueden dos contenedores que se ejecutan en una misma vaina??

¿Aks permite el tráfico de ingreso??

AKS no tiene requisitos de entrada por defecto. El bloqueo del tráfico interno de la subred utilizando grupos de seguridad de red (NSG) y firewalls no es compatible. Para controlar y bloquear el tráfico dentro del clúster, use políticas de red.

¿Qué hace el podselector en NetworkPolicy?

Podselector: cada NetworkPolicy incluye un podselector que selecciona la agrupación de pods a los que se aplica la política. La política de ejemplo selecciona PODS con la etiqueta "rol = db". Un podselector vacío selecciona todas las vainas en el espacio de nombres.

¿Kubernetes encripta el tráfico entre pods??

Kubernetes espera que toda la comunicación API en el clúster esté encriptada de forma predeterminada con TLS, y la mayoría de los métodos de instalación permiten que los certificados necesarios se creen y distribuyan a los componentes del clúster.

¿Cuáles son las mejores prácticas de la política de red de Kubernetes??

Las mejores prácticas para aplicar políticas de red de Kubernetes

Solo permita la comunicación entre namespace cuando sea necesario. No permita la comunicación de red innecesaria, incluso dentro del clúster de Kubernetes. Use precaución al permitir que los POD dentro del clúster reciban tráfico de red sin clúster.

¿Cuál es la diferencia entre la salida y el tráfico de ingreso??

La salida en el mundo de las redes implica el tráfico que sale de una entidad o un límite de red, mientras que la entrada es el tráfico que ingresa al límite de una red.

¿Qué es el tráfico de entrada de red??

El tráfico de ingreso es el tráfico de red cuya fuente se encuentra en Internet público I.mi., en una red externa, y enviar al nodo destinado en la red privada. Pero no es la respuesta a una solicitud iniciada por un sistema interno. Por ejemplo, un vuelo internacional que llega al aeropuerto local.

Está entrando o saliendo?

Ingress y salida como términos se han utilizado clásicamente para describir la dirección del tráfico en la red desde la perspectiva del centro de datos. Ingress está entrante, la salida está saliendo.

¿Cómo separo el tráfico de red??

Use redes de área local virtual (VLAN) para separar lógicamente el tráfico y las funciones de la red, y los firewalls, los sistemas de detección de intrusos (IDS), los sistemas de prevención de intrusiones (IPS) y los enrutadores para monitorear y filtrar el tráfico de entrada y salida.

¿Cómo se comunica entre contenedores en la misma vaina??

Múltiples contenedores en el mismo POD comparten la misma dirección IP. Pueden comunicarse entre sí abordando localhost . Por ejemplo, si un contenedor en una cápsula desea alcanzar otro contenedor en la misma cápsula en el puerto 8080, puede usar la dirección local: 8080 .

¿Cómo se comunica entre dos vainas en Kubernetes??

Kubernetes define un modelo de red llamado Interfaz de red de contenedores (CNI), pero la implementación real se basa en complementos de red. El complemento de red es responsable de asignar direcciones del Protocolo de Internet (IP) a los POD y permitir que los POD se comuniquen entre sí dentro del clúster Kubernetes.

¿Cómo se comunica entre vainas en diferentes espacios de nombres??

Por lo tanto, el formato general para dirigir el servicio en otro espacio de nombres es utilizar un DNS totalmente calificado (FQDN). Siempre es adecuado usar URL como esta, ya que son universales y pueden ser direccionables en cualquier lugar de todo el clúster. Esta es la solución a la comunicación entre pods.

¿Pueden las vainas hablar en los espacios de nombres??

Sin embargo, las vainas pueden comunicarse entre sí a través de los espacios de nombres. El clúster Kubernetes con el que hemos estado trabajando debería tener algunos espacios de nombres integrados en nuestra implementación predeterminada. Estos incluyen: predeterminado: este es el espacio de nombres donde se ejecutan todos nuestros pods y servicios a menos que especifiquemos uno diferente.

¿Se pueden comunicar las vainas en el mismo espacio de nombres??

Desde el punto de vista de la red, cada contenedor dentro del POD comparte el mismo espacio de nombres de redes. Esto le da a cada contenedor acceso a los mismos recursos de red, como la dirección IP del POD. Los contenedores dentro del mismo pod también pueden comunicarse entre sí a través de Localhost.

¿Pueden dos contenedores que se ejecutan en una misma vaina??

Los contenedores en la misma vaina actúan como si estuvieran en la misma máquina. Puedes hacer ping con localhost: puerto mismo. Cada contenedor en una cápsula comparte la misma IP. Puedes `ping localhost` dentro de una cápsula.