Size: a a a

OpenShift - русскоязычное сообщество

2020 December 24

RT

Roman Tsisyk in OpenShift - русскоязычное сообщество
Это ИБ у вас так извращается?
источник

RT

Roman Tsisyk in OpenShift - русскоязычное сообщество
Andrei Grazhdankov
Всем привет. Подскажите плиз куда копать - есть Pod, он состоит из контейнера А и контейнера B , как ограничить сетевой доступ - чтоб контейнер B мог общаться только с контейнером А, а контейнер А мог общаться с определенными внешними хостами.
Я точно не уверен, но помоему, на уровне контейнера это не настраивается.
источник

AG

Andrei Grazhdankov in OpenShift - русскоязычное сообщество
Roman Tsisyk
Это ИБ у вас так извращается?
Ага
источник

AG

Andrei Grazhdankov in OpenShift - русскоязычное сообщество
Спасибо, буду изучать
источник

RT

Roman Tsisyk in OpenShift - русскоязычное сообщество
Every container in a Pod shares the network namespace, including the IP address and network ports. Inside a Pod (and only then), the containers that belong to the Pod can communicate with one another using localhost. When containers in a Pod communicate with entities outside the Pod, they must coordinate how they use the shared network resources (such as ports). Within a Pod, containers share an IP address and port space, and can find each other via localhost.
источник

RT

Roman Tsisyk in OpenShift - русскоязычное сообщество
Понимаете в чем проблема, да? :)
источник

RT

Roman Tsisyk in OpenShift - русскоязычное сообщество
Сеть общая внутри пода... Дальше у вас задача сводится к тому, что надо на локалхосте трафик фильтровать. Наверное, стоит попробовать все же отдельные подв сделать и тогда штатная network policy будет работать.
источник

AG

Andrei Grazhdankov in OpenShift - русскоязычное сообщество
Да, уже прочитал это, спасибо за инфу!
источник

RK

Roman Kravtsov in OpenShift - русскоязычное сообщество
Andrei Grazhdankov
Всем привет. Подскажите плиз куда копать - есть Pod, он состоит из контейнера А и контейнера B , как ограничить сетевой доступ - чтоб контейнер B мог общаться только с контейнером А, а контейнер А мог общаться с определенными внешними хостами.
а контейнеры при этом не должны быть доступны через роуты?
источник

AG

Andrei Grazhdankov in OpenShift - русскоязычное сообщество
Неа
источник

AG

Andrei Grazhdankov in OpenShift - русскоязычное сообщество
Там идея такая, один контейнер отвечает за работу с БД и данные передаёт в другой контейнер для исполнения бизнес-функции и этот контейнер должен быть полность изолирован
источник

RK

Roman Kravtsov in OpenShift - русскоязычное сообщество
это хорошо, а то там есть проблемы с network policy, route и OVN-Kubernetes
источник

АП

Андрей Петров... in OpenShift - русскоязычное сообщество
Vadim Rutkovsky
не тот оператор емнип, но да, план примерно такой
А какой правильный ? успели попробовать ?
источник

VR

Vadim Rutkovsky in OpenShift - русскоязычное сообщество
Андрей Петров
А какой правильный ? успели попробовать ?
это собираются добавить в cluster-etcd-operator - https://github.com/openshift/enhancements/pull/415
источник

АП

Андрей Петров... in OpenShift - русскоязычное сообщество
это очень хорошо
источник

АП

Андрей Петров... in OpenShift - русскоязычное сообщество
в какую версию шифта планируется добавить ?
источник

VR

Vadim Rutkovsky in OpenShift - русскоязычное сообщество
Андрей Петров
в какую версию шифта планируется добавить ?
enhancement еще обсуждается, сейчас идет планнинг 4.8
источник

АП

Андрей Петров... in OpenShift - русскоязычное сообщество
Те ещё не скоро. А есть альтернативные инструменты? Пока эта доработка не дошла до шифта.
источник

VR

Vadim Rutkovsky in OpenShift - русскоязычное сообщество
Андрей Петров
Те ещё не скоро. А есть альтернативные инструменты? Пока эта доработка не дошла до шифта.
источник

АФ

Александр Филимонов... in OpenShift - русскоязычное сообщество
На тему бекапов посмотри на restic,мы прикрутили.но рестор пока не пробовали)))
источник