CKS学习笔记-NetworkPolicy练习

最新推荐文章于 2024-04-26 19:21:55 发布
最新推荐文章于 2024-04-26 19:21:55 发布
阅读量242 收藏 1
点赞数
分类专栏: CKS Kubernetes 文章标签: CKS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43394724/article/details/120759934
版权

网络策略

官网解释https://kubernetes.io/zh/docs/concepts/services-networking/network-policies/

如果希望在 IP 地址或端口层面(OSI 第 3 层或第 4 层)控制网络流量, 则可以考虑为集群中特定应用使用 Kubernetes 网络策略(NetworkPolicy)。 NetworkPolicy 是一种以应用为中心的结构,允许你设置如何允许 Pod 与网络上的各类网络“实体” 通信。

Pod 可以通信的 Pod 是通过如下三个标识符的组合来辩识的:

  • 其他被允许的 Pods(例外:Pod 无法阻塞对自身的访问)
  • 被允许的名字空间
  • IP 组块(例外:与 Pod 运行所在的节点的通信总是被允许的, 无论 Pod 或节点的 IP 地址)
    在定义基于 Pod 或名字空间的 NetworkPolicy 时,你会使用 选择算符 来设定哪些流量 可以进入或离开与该算符匹配的 Pod。

同时,当基于 IP 的 NetworkPolicy 被创建时,我们基于 IP 组块(CIDR 范围) 来定义策略。

前置条件和POD

网络策略通过网络插件 来实现。要使用网络策略,你必须使用支持 NetworkPolicy 的网络解决方案。 创建一个 NetworkPolicy 资源对象而没有控制器来使它生效的

了解本专栏 订阅专栏 解锁全文 超级会员免费看
Etaon
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
订阅专栏
CKS学习笔记-ServiceAccount练习
weixin_43394724的博客
10-11 215
本实验实现不给服务账号自动挂载 API 凭据并应用到Pod Service Account Kubernetes 区分用户账户和服务账户的概念主要基于以下原因: • 用户账户是针对人而言的。 服务账户是针对运行在 pod 中的进程而言的。 • 用户账户是全局性的。 其名称在集群各 namespace 中都是全局唯一的,未来的用户资源不会做 namespace 隔离, 服务账户是 namespace 隔离的。 • 通常情况下,集群的用户账户可能会从企业数据库进行同步,其创建需要特殊权限,并且涉及到复杂的业务流
CKS学习笔记-Sysdig
weixin_43394724的博客
12-18 1038
sysdig 它是一个强大的开源工具,用于系统级别的勘察和排障,它的创建者在介绍它时称之为“strace+tcpdump+lsof+上面点缀着lua樱桃的绝妙酱汁”。抛开幽默不说,sysdig的最棒特性之一在于,它不仅能分析Linux系统的“现场”状态,也能将该状态保存为转储文件以供离线检查。更重要的是,你可以自定义sysdig的行为,或者甚至通过内建的(你也可以自己编写)名为凿子(chisel)的小脚本增强其功能。单独的凿子可以以脚本指定的各种风格分析sysdig捕获的事件流。 sysdig安装: cur
k8s学习-CKS考试必过宝典_cks考题 api etcd 通信
最新发布
2401_84263434的博客
04-26 713
正确设置带有安全控制的Ingress对象保护节点元数据和端点最小化GUI元素的使用和访问在部署之前验证平台二进制文件。
K8s CKS认证学习全套笔记
tushanpeipei的博客
12-17 2132
CKS学习笔记(K8S 安全)
CKS学习笔记-Audit 审计 练习
weixin_43394724的博客
10-20 357
审计 FEATURE STATE: Kubernetes v1.22 [beta] 官网链接:https://kubernetes.io/zh/docs/tasks/debug-application-cluster/audit/ Kubernetes 审计(Auditing) 功能提供了与安全相关的、按时间顺序排列的记录集, 记录每个用户、使用 Kubernetes API 的应用以及控制面自身引发的活动。 审计功能使得集群管理员能够回答以下问题: 发生了什么? 什么时候发生的? 谁触发的? 活动发生在哪
CKS学习笔记--AppArmor
weixin_43394724的博客
12-14 1321
介绍 AppArmor(Application Armor)是Linux内核的一个安全模块,AppArmor允许系统管理员将每个程序与一个安全配置文件关联,从而限制程序的功能。 简单的说,AppArmor是与SELinux类似的一个访问控制系统,通过它你可以指定程序可以读、写或运行哪些文件,是否可以打开网络端口等。作为对传统Unix的自主访问控制模块的补充,AppArmor提供了强制访问控制机制,它已经被整合到2.6版本的Linux内核中。 目前Ubuntu已自带了Apparmor。 AppArmor配置文
CKS】考试之 NetworkPolicy 访问控制
sinat_33076015的博客
09-07 133
官网搜索: networkpolicy 官网位置:网络策略。
CKS - Practise - Immutable.docx
04-29
CKS - Practise Immutable Resource
CKS - Practise - ImageWebHook.docx
04-29
CKS - Practise ImageWebHook Very important topic for CKS exam
CKS - Practise - NetPol.docx
04-29
CKS - Practise - NetPol
CKS - Practise - PSP and Audit.docx
04-29
CKS - Practise PSP and Audit
CKS - Practise - RBAC adn Kubesec.docx
04-29
CKS(Certified Kubernetes Security Specialist)练习涉及到对RBAC和Kubesec工具的使用,来增强Pod的安全配置。 首先,`kubesec`工具是用来扫描Pod定义模板,以检查其是否符合Kubernetes的安全最佳实践。在例子中...
CKS学习笔记-镜像安全ImagePolicyWebhook
weixin_43394724的博客
12-23 1035
官网: https://www.notion.so/etaon/ImagePolicyWebhook-6b7d52ff6b474d168688698cea046905#991170999fd84532aa6354ade5ccb0dd 什么是准入控制插件? 准入控制器是一段代码,它会在请求通过认证和授权之后、对象被持久化之前拦截到达 API 服务器的请求。控制器由下面的列表组成, 并编译进 kube-apiserver 二进制文件,并且只能由集群管理员配置。 在该列表中,有两个特殊的控制器
Kubernetes CKS 2021--网络策略networkpolicy
爱死亡机器人
04-20 1190
文章目录1. 集群配置网络策略2. Practice - Frontend to Backend traffic3. Practice - Backend to Database traffic 1. 集群配置网络策略 2. Practice - Frontend to Backend traffic root@master:~# k run frontend --image=nginx pod/frontend created root@master:~# k run backend
CKS学习笔记-Secret 练习
weixin_43394724的博客
10-21 171
官网有关信息https://kubernetes.io/zh/docs/concepts/configuration/secret/ 概述 什么是Secret Secret 是一种包含少量敏感信息例如密码、令牌或密钥的对象。 这样的信息可能会被放在 Pod 规约中或者镜像中。 使用 Secret 意味着你不需要在应用程序代码中包含机密数据。 由于创建 Secret 可以独立于使用它们的 Pod, 因此在创建、查看和编辑 Pod 的工作流程中暴露 Secret(及其数据)的风险较小。 Kubernetes 和
CKS 试题训练【1】
爱死亡机器人
04-11 2800
文章目录1. 考点:Use Role Based Access Controls to minimize exposure试题 1:RBAC授权问题第1步:检查当前 RBAC rules第2步:创建其他RBAC rules2. 考点:Setup appropriate OS level security domains e.g. using PSP, OPA, security contexts试题1:使用OPA策略提高安全性3. 考点:Detect threats within physical infr
CKA备战08-真题:创建 NetworkPolicy
moyu11111的博客
04-02 517
题目 Create a new NetworkPolicy named allow-port-from-namespace that allows Pods in the existing namespace internal to connect to port 9000 of other Pods in the same namespace. Ensure that the new NetworkPolicy: doesnot allow access to Pods not listenin.
CKS学习笔记-CIS基准及使用
weixin_43394724的博客
10-09 829
概述 CIS安全基准 互联网安全中心(CIS,Center for Internet Security),是一个非盈利组织,致力为互联网提供免费的安全防御解决方案。 官网: cisecurity.org Kubernetes CIS基准: Resources • Platforms • Kubernetes kube-bench 互联网安全中心为保护代码的最佳实践提供了许多指南和基准测试。CIS 发布了Kubernetes的基准,即对这些测试的新开源实现:kube-bench。 它是作为 Go 应用程序
【CKA、CKS篇】CKA真题解析——配置网络策略 NetworkPolicy扩展
weixin_45842494的博客
10-23 443
并将占用 CPU 最高的 pod 名称写入文件 /opt/KUTR000401/KUTR00401.txt(已存在)。通过 pod label name=cpu-loader,找到运行时占用大量 CPU 的 pod。根据解析,我们可以通过相应的命令完成操作,在实际的考试中,可以查看帮助文档。kubectl top pod -l 命令的使用。根据帮助文档将相应的命令补充完整。说明:-A表示所有名称空间。
2021年CKS 最新大纲.docx
01-31
问题Q2提到了CKS实践考试的第二部分,可能是一个在线实验室练习,链接指向了学习平台上的一个课程,这个课程可能是为了帮助考生准备CKS认证考试而设计的。这部分没有提供具体的问题或解答,但可以推断,它包含了一...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值