如何将 VPN 连接(出口)限制为 Kubernetes AKS 中的单个 POD

问题描述 投票:0回答:1

我在 AKS 上有一个 Kubernetes 集群。 在集群上,我们运行不同的微服务,集群上的所有 Pod 都位于 10.XXX.XXX.0/20 中,并使用 AzureCNI 网络。

在 Azure VNET 上,我们已连接到允许访问本地数据库的 VPN 网关。 我们希望限制仅对某些 POD 使用 VPN 连接。

    我们可以更改应具有此连接的 Pod 的 IP 地址,以便我们可以在防火墙上应用规则吗?
    • 有没有办法将 Azure 站点上的网络限制为某些 Pod(可能基于标签)?
    • 我们是否需要在 Kuberentes 网络策略中阻止该请求?
我并不完全清楚如何限制 Pod 的出口网络流量。这对我来说非常有限。

kubernetes azure-aks vpn azure-vpn
1个回答
0
投票
带有 AzureCNI 的 AKS 将 VNET 中的 IP 地址分配给每个 Pod。您无法针对每个 Pod 更改这些 IP,但由于每个 Pod 都有一个唯一的 IP,因此您可以在网络安全组 (NSG) 或防火墙规则中使用这些 IP 来限制访问。

此外,AKS 支持 Kubernetes 网络策略。您可以基于标签定义策略来控制进出 Pod 的流量。这允许您限制哪些 Pod 可以访问您的 VPN 网关。

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.