CKS认证-NetworkPolicy-拒绝所有入口/出口流量

最新推荐文章于 2024-09-12 17:37:20 发布
最新推荐文章于 2024-09-12 17:37:20 发布
阅读量241 收藏 4
点赞数 6
分类专栏: CKS认证考试 文章标签: kubernetes docker 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46913617/article/details/141056616
版权

4. NetworkPolicy-拒绝所有入口/出口流量

问题:

一个默认拒绝(default-deny)的NetworkPolicy 可避免在未定义任何其他 NetworkPolicy 的namespace 中意外公开 Pod。
Task
为所有类型为 Ingress 的流量在 namespace production 中创建 个名为 defaultdeny 的新默认拒绝 Networkpolicy.
此新的 NetworkPolicy 必须拒绝 namespace production 中的所有 Ingress 流量。
将新创建的默认拒绝 NetworkPolicy 应用于在namespace production 中运行的所有 Pod。
:::info
你可以在/home/candidate/KSCS00101/network-policy.yaml找到一个模板清单文件。
:::

正确答案:

题干解析:
根据题目要求要让拒绝所有进出口流量,所以你此时引用的networkpolicy策略时需要注意,你需要引用拒绝所有的。
再根据题干要求得知,必须拒绝 namespace production 中的所有 Ingress 流量。那么再根据题干的要求,你需要拒绝所有ingress的流量
由这两个条件得知,你需要创建一个拒绝ingress的yaml文件,并且只能对production这个名称空间的pod访问。
考题是 Egress,直接把 Ingress 变成 Egress

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: defaultdeny
  namespace: production
spec:
  podSelector: {}   #
  policyTypes:  #
  - Ingress  #
狗哥运维
关注
  • 6
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CKS学习笔记-NetworkPolicy练习
weixin_43394724的博客
10-18 265
网络策略 官网解释https://kubernetes.io/zh/docs/concepts/services-networking/network-policies/: 如果希望在 IP 地址或端口层面(OSI 第 3 层或第 4 层)控制网络流量, 则可以考虑为集群中特定应用使用 Kubernetes 网络策略(NetworkPolicy)。 NetworkPolicy 是一种以应用为中心的结构,允许你设置如何允许 Pod 与网络上的各类网络“实体” 通信。 Pod 可以通信的 Pod 是通过如下
CKS】考试之NetworkPolicy-拒绝所有入口/出口流量
sinat_33076015的博客
09-05 128
官网搜索: networkpolicy 官网位置:网络策略。
CKS认证-NetworkPolicy 访问控制
m0_46913617的博客
08-05 330
本文主要是介绍CKS认证考试相关的题目和注意事项
k8s学习-CKS真题-网络策略拒绝流量
关注网络安全、云原生安全
02-25 705
【代码】k8s学习-CKS真题-网络策略拒绝流量
【K8S认证】2023年CKS考题-网络策略NetworkPolicy(解析+答案)
u014481728的博客
10-27 2262
【K8S认证】2023年CKS考题-网络策略NetworkPolicy(解析+答案)
CKS备考9-网络策略NetworkPolicy
weixin_34947914的博客
06-30 25
Task 创建一个名为 pod-restriction 的 NetworkPolicy 来限制对在 namespace dev-team 中运行的 Pod products-service 的访问。 只允许以下 Pod 连接到 Pod products-service namespace qaqa 中的 Pod 位于任何...
Kubernetes CKS 2021--网络策略networkpolicy
爱死亡机器人
04-20 1216
文章目录1. 集群配置网络策略2. Practice - Frontend to Backend traffic3. Practice - Backend to Database traffic 1. 集群配置网络策略 2. Practice - Frontend to Backend traffic root@master:~# k run frontend --image=nginx pod/frontend created root@master:~# k run backend
CKS认证-AppArmor
m0_46913617的博客
08-05 501
本文主要是介绍CKS认证考试相关的题目和注意事项
CKS认证-审计⽇志
m0_46913617的博客
08-05 173
本文主要是介绍CKS认证考试相关的题目和注意事项
k8s 容忍和污点
最新发布
batman
09-12 468
该值定义尽量避免将Pod调度到存在其不能容忍的Taint的节点上,但并不是强制的,也就是说,一个没有配置Toleration的Pod会优先部署至其他节点,没有其他可以调度的节点时,还是可以部署到effect为PreferNoSchedule的节点上的,NoSchedule没有这种机制。如果未被过滤的Taint中不存在effect值为NoExecute的Taint,但是存在effect值为PreferNoSchedule的Taint,则Kubernetes会尝试将Pod分配到该节点。
k8s Helm
巧克力人生的博客
09-08 1042
了解HelmHelm是kubernetes中查找、分享、构建应用的最佳方式。Helm是一个Kubernetes应用的包管理工具,用来管理chart(一种预先配置好的安装包资源),有点类似于Ubuntu 的APT和CentOS/Rocky中的YUM。因此,helm的出现解决了k8s应用管理能力缺失的问题。另外Helm也是dev和ops的桥梁,运维人员在使用Helm的时候,一方面不需要理解大量在Chart中的各种k8s元素,只需要配置少量的环境变量即可安装;
k8s API资源对象
巧克力人生的博客
09-06 720
如果想直接通过k8s节点的IP直接访问到service对应的资源,可以使用NodePort,Nodeport对应的端口范围:30000-32767。这种方式,需要配合公有云资源比如阿里云、亚马逊云来实现,这里需要一个公网IP作为入口,然后来负载均衡所有的Pod。该方式为默认类型,即,不定义type字段时(如上面service的示例),就是该类型。说明:Taint叫做污点,如果某一个节点上有污点,则不会被调度运行pod。使用yaml文件来配置、部署资源对象。作用:对外提供访问端口。
StreamPark集成k8s运行Flink
weixin_45249411的博客
09-08 512
1.然后在有docekr的机器上登录。2.设置下命名空间(左侧)
Kubernetes】K8s 的鉴权管理(二):基于属性 / 节点 / Webhook 的访问控制
书山有路,学海无涯。记录成长,追逐梦想
09-10 1233
基于属性的访问控制(Attribute-Based Access Control,ABAC)通过将属性组合在一起来定义用户可以访问的范围。其策略文件是一个具有多行 JSON 格式的文件,该文件中的每一行都是一个策略(即一个 JSON 对象)。
培训第九周(部署k8s基础环境)
weixin_70693880的博客
09-07 1496
添加sandbox_image = "registry.cn-hangzhou.aliyuncs.com/google_containers/pause:3.9"(第128行)之前采⽤初始化安装⽅式,所有的系统组件均以容器的⽅式运⾏ 并且在 kube-system 命名空间内,此时可以查看 Pod(容器 组)状态。overlay # ⽤于⽀持Overlay⽹络⽂件系统的模块,它可以在现有的⽂件系统之上创建叠加层,以实现虚拟化、隔离和管理等功能。设置为0表示不产⽣panic,设置为1表示产⽣panic。
k8s HPA
巧克力人生的博客
09-07 625
HPA可以基于CPU利用率对replication controller、deployment和replicaset中的pod数量进行自动扩缩容(除了CPU利用率,也可以基于其他应用程序提供的度量指标custom metrics进行自动扩缩容)。将image: k8s.gcr.io/metrics-server/metrics-server:v0.6.2 修改为 image: aminglinux/metrics-server:v0.6.2。pod自动缩放不适用于无法缩放的对象,比如daemonsets。
93、k8s之hpa+helm
m0_74149099的博客
09-12 591
pod的数量进行扩缩容针对对控制器创建的podreplicas:静态:editHPA:基于cpu的利用率来实现pod的数量大的自动伸缩。yaml 文件------主流------>必须要有资源控制的字段才能生效。命令行 生成HPA的配置。yaml必要条件:前置必要条件:控制器创建,而且必须能设置副本数配置的必要条件:必须要声明pod的资源控制1、metrices-server hpa使用的依赖环境。k8s使用集群资源的集中查询器。收集资源使用数据,给hpa,scheduller使用。
14.2 k8s中我们都需要监控哪些组件
福大大架构师每日一题
09-08 900
指标类型采集源应用举例发现类型grafana截图容器基础资源指标kubelet 内置cadvisor metrics接口查看容器cpu、mem利用率等k8s_sd node级别直接访问node_ip容器基础资源k8s对象资源指标(简称ksm)具体可以看看pod状态如pod waiting状态的原因数个数如:查看node pod按namespace分布情况通过coredns访问域名k8s对象资源指标k8s服务组件指标服务组件 metrics接口。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值