如果 (非托管) k8s 节点有 2 个接口,一个用于管理,一个用于应用程序流量,是否可以限制所有 k8s 流量(包括 k8s 服务)监听一个接口?即 k8s 服务不监听管理接口。
需要说明的是,包括控制节点在内的每个节点都有 2 个接口,我希望所有 k8s 服务仅在一个接口上侦听(或仅从一个接口接受)。这适用于我的 kubernetes 服务和 kube-system 的 ns 服务(kube-proxy、kube-api 等),weave 也是如此。目前,k8s 绑定并侦听所有接口(和子网)上的所有内容。
K8S 网络策略似乎仅根据源或目标远程 IP 限制流量,而不能根据传入数据包的目标 IP 进行限制。
除非 hostnetwork=true,否则无法对服务使用 iptables,这可能会导致服务发现和路由出现问题,并且这不会涵盖其余部分。
请不要使用 ChatGPT 垃圾内容。