Kubernetes 網絡策略允許出口到 S3
[英]Kubernetes Network Policy to allow egress to S3
問題描述
我正在尋找一種方法來限制來自我的 pod 的傳出流量,以便它只能到達 S3。 我的入口已經完全鎖定,並且我默認拒絕所有傳入流量(這仍然允許我按預期連接到 S3)。
通過遵循此文檔,我能夠在我的區域中找到 S3 的 IP 范圍,並將其添加到以下我的網絡策略中:
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: aws-s3
spec:
podSelector:
matchLabels:
name: aws-s3
policyTypes:
- Egress
egress:
- to:
- ipBlock:
cidr:
52.95.144.0/24
- ipBlock:
cidr:
52.95.148.0/23
- ipBlock:
cidr:
3.5.244.0/22
- ipBlock:
cidr:
52.95.142.0/23
- ipBlock:
cidr:
52.95.150.0/24
- ipBlock:
cidr:
18.168.37.160/28
- ipBlock:
cidr:
18.168.37.176/28
添加此策略后,我的 pod 無法再使用 aws cli 訪問存儲桶。 有沒有人能夠允許出口到 S3 或修復類似問題?
1 個解決方案
解決方案1
0 已采納 2021-12-12 11:49:26
想通了這個問題。 aws cli 試圖解析 s3.amazonaws.com 但無法解析,因為我的策略也阻止了 DNS 服務器。 我將它列入白名單,並允許 DNS 端口(53/udp 和 53/tcp)上的所有出站流量。
什么是允許用戶在VPC安全組中添加入口/出口規則的正確IAM策略
[英]What's the correct IAM Policy to allow users add Ingress/Egress rules in a VPC security Group
S3 策略允許寫入存儲桶但不允許從中讀取,這可能嗎?
[英]S3 policy to allow to write to a bucket but not to read from it, is it possible?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.