2016-06-21 8 views
1

서비스를 서로 격리하려고합니다.Google 컨테이너 엔진 서브넷

한다고 가정 작전 인간 구글 컨테이너 엔진에서 실행되는 MySQL의 저장의 무리를 가지고 있으며, DEV-인간는 동일한 클러스터에서 실행중인 노드 애플 리케이션의 무리가 있습니다. 나는 dev-human이 어떤 식 으로든 ops-human의 mysql 인스턴스에 액세스 할 수 없도록하고 싶지 않습니다.

가장 간단한 해결책 : 둘 다 별도의 서브넷에 두십시오. 어떻게 그런 일을합니까? 나는 다른 구현들에 대해서도 개방적이다.

+0

다른 [네임 스페이스] (http://kubernetes.io/docs/admin/namespaces/)에 넣으면 문제가 해결됩니까? – caesarxuchao

+0

@caesarxuchao 네임 스페이스는 모든 데이터베이스의 이름을 "db"와 같이 사용자 오류 (또는 단지 편리한 구성)로부터 보호합니다. 그런 다음 해당 네임 스페이스의 로컬 "db"가 ​​검색됩니다. 그러나 FQDN을 사용하고 Kubernetes와 같은 평면 네트워크를 사용하는 경우 네임 스페이스 외부의 다른 리소스에 액세스 할 수 있습니다. Dev와 ops가 동일한 클러스터에서 실행되지 않는 것이 최상입니다. dev가 자원 작업에 필요한 새로운 코드를 생성한다면 어떻게해야합니까? –

답변

1

Kubernetes Network-SIG 팀은 잠시 네트워크 격리 문제를 해결하기 위해 노력하고 있으며이를 지원하기 위해 kubernetes 1.2에 실험용 API가 있습니다. 기본 개념은 네임 스페이스 단위로 네트워크 정책을 제공하는 것입니다. 그런 다음 타사 네트워크 컨트롤러가 리소스 변경에 대응하고 정책을 시행 할 수 있습니다. 자세한 내용은이 주제에 대한 마지막 blog post을 참조하십시오.

EDIT :이 답변은 오픈 소스 kubernetes에 관한 것이지 GKE 전용은 아닙니다.