問題タブ [kubernetes-networkpolicy]

Kubernetes に関していくつか質問があります: Kubernetes クラスターを保護するにはどうすればよいですか?

私の計画は、デフォルトで Kubernetes クラスターを保護するアプリケーションを開発することです。いくつかのネットワーク ポリシーを作成してテストしましたが、成功しました。2 番目のステップとして、これらの情報をクラウド プロバイダーなどに基づいてアプリケーションで動的に設定したいと考えています。

1.) ホスト ネットワークとメタ データ サービスへのアクセスをブロックしたい (私のクラスターは AWS で実行されている):

ホストネットワークに動的にアクセスする方法を知っている人はいますか? メタ データ サービスを使用する必要があるという問題が見つかりました: https://github.com/kubernetes/kubernetes/issues/24657

現在実行しているクラウド プロバイダーを確認する方法を知っている人はいますか? その情報に基づいて、メタ データ サービスの IP を設定したいと考えています。

2.) 「kube-system」名前空間へのアクセスをブロックしたい:

実際に拒否されたアクセスを強制する方法を知っている人はいますか? 私が理解している限り、「名前空間」というラベルの付いたキーは、私が選んだ名前にすぎません。Kubernetes は、私が実際に名前空間を意味していることをどのように認識していますか?

3.) インターネット アクセスをブロックしたい:

DMZゾーンのDNSサーバーのようなものがまだ到達可能かどうか、誰か知っていますか?

4.) 名前空間が異なるポッドへの通信をブロックしたい:

ここでは、名前空間を動的に設定するコントローラーを開発しました。

ストレージ バケットへのアクセスが必要なアプリをホストする GKE クラスタを実行しています。そのために私は を利用していますgsutils。

現在のネットワーク ポリシーは非常に制限的で、本当に必要なエンドポイントへのアクセスのみを許可しています。ポリシーを設定した状態で Pod にログインして を実行するgsutil lsと、

しかし、ネットワーク ポリシーを削除すると、すべてのバケットが表示されます。

ネットワーク ポリシー ルールを指定する方法がわかりません。つまり、どの IP 範囲 / ホスト名 / ポートをネットワーク ポリシーに追加して、Google Cloud Storage をホワイトリストに登録する必要があるのか​​ わかりません。誰かがこれで私を助けることができますか?