如果容器，只能访问指定的主机，除了iptables，还有其他办法，有没有安全的隐患？

k8s calico的网络策略似乎可以实现。

2. 控制workload endpoints到 host的默认行为

获取要编辑的对象

calicoctl get felixconfiguration default --export -o yaml > default-felix-config.yaml

打开文件和添加参数，defaultEndpointToHostAction

apiVersion: projectcalico.org/v3
kind: FelixConfiguration
metadata:
  name: default
spec:
  ipipEnabled: true
  logSeverityScreen: Info
  reportingInterval: 0s
  defaultEndpointToHostAction: Accept

应用编辑的配置

calicoctl apply -f default-felix-config.yaml

作者：sknfie
链接：https://www.jianshu.com/p/173152c61ea4
来源：简书
著作权归作者所有。商业转载请联系作者获得授权，非商业转载请注明出处。

posted @ 2022-12-01 16:45 滴滴滴阅读(23) 评论(0) 编辑收藏举报

刷新页面返回顶部

如果容器，只能访问指定的主机，除了iptables，还有其他办法，有没有安全的隐患？

2. 控制workload endpoints到 host的默认行为

公告