如题,需求是希望用 K8S 在内部平台做类似 VPC 那样的网络区分,保证不同链路下,网络的安全,这块大家目前走的什么方案呀?
PS:维护的人很少,希望方案比较完整,坑比较少
PS:k8s 集群可能有多个机房,希望方案附带了这方面的适配
1
defunct9 17 小时 3 分钟前
rancher 吧
|
3
defunct9 16 小时 43 分钟前
人少就用这玩意好了
|
4
zhoulq7 16 小时 39 分钟前
使用 rancher 管理 k8s 集群,k8s 集群使用 Canal 网络插件, 启用项目网络隔离。
|
5
vus520 16 小时 38 分钟前
1. 基本的网络策略,pod 之间的通信,命名空间隔离,可以用网络策略结合 CNI 插件(如 Calico 或 Cilium )来实现
2. 服务之间的通信可以使用使用 Istio 或 Linkerd 等服务网格来管理,可以有更细粒度的控制和安全性,比如流量管理、监控和安全策略 |
6
FabricPath 16 小时 13 分钟前
网络层的权限管理能力太弱了,只能控制通和不通;
建议你直接用 ServiceMesh 去解决权限问题 |
9
annoygaga OP @FabricPath ServiceMesh 没什么经验,这个好维护吗?以及,能达到那个水平吗?
|
11
guokehujin 14 小时 4 分钟前
推荐 kube-ovn cni
|
12
defunct9 13 小时 59 分钟前
你没说明白你的需求和现状,你都有 ACK 了,还弄啥 rancher
|
13
GeekGao 13 小时 57 分钟前
默认拒绝所有入站流量的网络策略,只允许特定流量的网络策略。然后使用 CNI 配置,限制特定节点 label 可以访问
|
16
defunct9 13 小时 46 分钟前
业务需求用 namespace 隔开就可以了。vpc 已经是个大平板广场了,再做 vpc 不行了吧。
|
18
sampeng 13 小时 5 分钟前
没明白你的需求是啥。。
每个 pod 不同的网络权限?那你需要 istio ?这个需要有人。坑很深,概念那是一套一套的。会了很爽。但是交接和招新人是个很大问题。istio 的网络控制层面会严格控制代理每个 pod 的进和出的流量。 你都有不同的集群了。不同集群天然就是网络隔离的啊。解决好每个集群所在网络安全不就好了么。 |
19
sampeng 13 小时 0 分钟前
我就记得有这么个东西。。
https://kubernetes.io/docs/concepts/services-networking/network-policies/ 自己维护一个 list 就完事了。 |
20
CCIEliu 11 小时 45 分钟前
cilium 或者 calico 都行,个人推荐 cilium ,可观察性好一点。如果想容易维护那就 calico 。
其实还是直接做 networkpolicy 好一点,已经在同一个集群了,没必要非要搞个 vpc 类似概念出来。 就继续按照 k8s 的思路,用 networkpolicy 管理网络就好了。 ps:如果真的想 vpc ,那就直接在基础设施上新建新的 k8s 集群,彻底隔离。。。故障域也隔离开了。 |
24
07212423 8 小时 21 分钟前
印象中 k8s 的网络从设计上就是一个平面。你的需求更像是安全需求,而不是 vpc 需求。 应该看看网络策略
|