我在 kubernetes 中运行 NFS 服务器,并且仅将此 NFS 服务器用于 PVC 配置器。因此,其他不是 PVC 配置器或不使用配置器配置的 nfs 卷的 pod 实际上不需要能够访问 NFS 服务器。但每个 pod 都可以访问 nfs 服务器(通过服务)。有没有办法将 NFS 访问限制为仅使用 NFS 的 pod?
答案1
如果您想在 IP 地址或端口级别(OSI 第 3 层或第 4 层)控制流量,那么您可以考虑为集群中的特定应用程序使用 Kubernetes NetworkPolicies。因此,在这种情况下,唯一可能的解决方案是使用网络策略,您要么需要使用仅包含 NFS pod 的单独命名空间,要么可以使用 IP 块(例外:始终允许往返于运行 Pod 的节点的流量,无论 Pod 或节点的 IP 地址如何)。