1 added
1 removed
Original
2026-01-01
Modified
2026-03-10
1
<p>Теги: kubernetes, настройки, политики, под</p>
1
<p>Теги: kubernetes, настройки, политики, под</p>
2
<p>Некоторые думают, что достаточно просто перенести приложение на Kubernetes (вручную или с помощью Helm), и будет счастье. Однако на деле не все так просто. Мы уже говорили про<a>настройку запросов пода и лимитов</a>, а также про<a>тесты Liveness и Readiness</a>. Пришло время рассказать о настройке дефолтных сетевых политик пода.</p>
2
<p>Некоторые думают, что достаточно просто перенести приложение на Kubernetes (вручную или с помощью Helm), и будет счастье. Однако на деле не все так просто. Мы уже говорили про<a>настройку запросов пода и лимитов</a>, а также про<a>тесты Liveness и Readiness</a>. Пришло время рассказать о настройке дефолтных сетевых политик пода.</p>
3
<p>Если кто не знает, в Kubernetes "плоская" сетевая топография, то есть по дефолту все поды напрямую взаимодействуют друг с другом. Но иногда это нежелательно, т. к. существует потенциальная проблема безопасности. В чем же она заключается? В том, что у злоумышленника есть возможность использовать единственное уязвимое программное приложение с целью отправки трафика на все поды в сети. Здесь, как и во многих других областях информационной безопасности, является применимым<strong>принцип наименьших привилегий</strong>. В идеальном же случае сетевые политики должны в явном порядке указывать, какие именно соединения между подами разрешаются, а какие нет.</p>
3
<p>Если кто не знает, в Kubernetes "плоская" сетевая топография, то есть по дефолту все поды напрямую взаимодействуют друг с другом. Но иногда это нежелательно, т. к. существует потенциальная проблема безопасности. В чем же она заключается? В том, что у злоумышленника есть возможность использовать единственное уязвимое программное приложение с целью отправки трафика на все поды в сети. Здесь, как и во многих других областях информационной безопасности, является применимым<strong>принцип наименьших привилегий</strong>. В идеальном же случае сетевые политики должны в явном порядке указывать, какие именно соединения между подами разрешаются, а какие нет.</p>
4
<p>К примеру, ниже вы увидите простую политику, запрещающую весь входящий трафик для определенного пространства имен:</p>
4
<p>К примеру, ниже вы увидите простую политику, запрещающую весь входящий трафик для определенного пространства имен:</p>
5
<p>А теперь давайте посмотрим на визуализацию данной конфигурации:</p>
5
<p>А теперь давайте посмотрим на визуализацию данной конфигурации:</p>
6
-
<p>Вот так вот. Если хотите получить больше информации на эту тему, вам<a>сюда</a>.</p>
6
+
<p>Вот так вот. Если хотите получить больше информации на эту тему, вам<a>с��да</a>.</p>
7
<p><em>По материалам статьи "<a>5 Things We Overlooked When Deploying Our First App on Kubernetes</a>".</em></p>
7
<p><em>По материалам статьи "<a>5 Things We Overlooked When Deploying Our First App on Kubernetes</a>".</em></p>
8
8