开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

Kubernetes，NGINX:如何获取Pod的固定出站IP，将Pod列入外部服务白名单

Kubernetes是一个开源的容器编排平台，用于自动化部署、扩展和管理容器化应用程序。它提供了一种便捷的方式来管理容器化应用程序的生命周期，包括自动化部署、弹性伸缩、负载均衡、服务发现和容器间通信等功能。

NGINX是一个高性能的开源Web服务器和反向代理服务器。它可以作为一个独立的Web服务器，也可以用作负载均衡器和反向代理服务器。NGINX具有高度可扩展性和灵活性，可以处理大量并发连接，并提供高性能的静态文件传输和动态内容缓存。

要获取Pod的固定出站IP并将Pod列入外部服务白名单，可以通过以下步骤实现：

创建一个Service对象：在Kubernetes中，Service是一种抽象，用于定义一组Pod的访问方式。可以使用以下命令创建一个Service对象：
创建一个Service对象：在Kubernetes中，Service是一种抽象，用于定义一组Pod的访问方式。可以使用以下命令创建一个Service对象：
其中，<service-type>可以是ClusterIP、NodePort或LoadBalancer，<service-name>是Service的名称，<port>是Service的端口，<target-port>是Pod的端口。
获取Service的ClusterIP：使用以下命令获取Service的ClusterIP：
获取Service的ClusterIP：使用以下命令获取Service的ClusterIP：
将Pod的出站IP添加到外部服务白名单：将Service的ClusterIP添加到外部服务的白名单中，以允许Pod与外部服务进行通信。

推荐的腾讯云相关产品和产品介绍链接地址如下：

腾讯云容器服务（Tencent Kubernetes Engine，TKE）：腾讯云提供的托管式Kubernetes服务，可帮助用户快速搭建和管理Kubernetes集群。详情请参考：腾讯云容器服务
腾讯云负载均衡（CLB）：腾讯云提供的负载均衡服务，可将流量分发到多个Pod实例上，提高应用程序的可用性和性能。详情请参考：腾讯云负载均衡

请注意，以上答案仅供参考，具体实施步骤和推荐产品可能因实际情况而异。

相关搜索:为不同pod Kubernetes使用负载均衡的外部IP服务如何获取kubernetes服务名而不是'traefik‘pod的IP 如何使用Kubernetes的服务IP地址代替POD IP地址如何从Kubernetes pod的IP地址获取其名称？如何将负载均衡器Laravel后面的nginx中的远程ip地址列入白名单如何在Kubernetes中获取POD中的特定应用(在多个正在运行的应用中)需要服务的特定请求？大数据搜索引擎大数据云计算供应链金融数据大数据平台开发

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

【云原生 | Kubernetes篇】Kubernetes 网络策略（NetworkPolicy）（十四）

NetworkPolicy 的 .spec.ingress.from 和 .spec.egress.to 字段中，可以指定 4 种类型的标签选择器：

05

Kubernetes网络策略之详解

随着微服务架构的日渐盛行，Serverless框架的逐步落地，应用上云后带来了模块间网络调用需求的大规模增长，Kubernetes 自 1.3 引入了 Network Policy，其提供以应用为中心，基于策略的网络控制，用于隔离应用以减少攻击面。

02

041.集群网络-K8S网络策略

为实现细粒度的容器间网络访问隔离策略，Kubernetes发布Network Policy，目前已升级为networking.k8s.io/v1稳定版本。

04

设置Kubernetes网络政策 - 详细指南

这篇客座文章由StackRox技术人员Viswajith Venugopal撰写，最初发布在Stackrox上。

03

基于AWS EKS的K8S实践 - 打通外网对集群内服务的调用

service 通常用作集群内服务之前的通信，ingress 通常用于暴露给集群外的服务使用。

04

关于 Kubernetes中NetworkPolicy(网络策略)方面的一些笔记

混吃等死，小富即安，飞黄腾达，是因为各有各的缘法，未必有高下之分。–—烽火戏诸侯《剑来》

01

【K8S专栏】Kubernetes应用访问管理

在Kubernetes中，提供了Service和Ingress两种对象来实现应用间访问或外部对集群应用访问，这两种对象在实际的工作中会时长使用，非常重要的对象。

01

浅谈云上攻防——Kubelet访问控制机制与提权方法研究

背景本文翻译整理自rhino安全实验室：近些年针对kubernetes的攻击呈现愈演愈烈之势，一旦攻击者在kubernetes集群中站稳脚跟就会尝试渗透集群涉及的所有容器，尤其是针对访问控制和隔离做的不够好的集群受到的损害也会越大。例如由unit 42研究人员检测到的TeamTNT组织的恶意软件Siloscape就是利用了泄露的AWS凭证或错误配置从而获得了kubelet初始访问权限后批量部署挖矿木马或窃取关键信息如用户名和密码，组织机密和内部文件，甚至控制集群中托管的整个数据库从而发起勒索攻击。根据微

03

Kubernetes中网络控制器之NetworkPolicy

在Kubernetes中，网络隔离功能是通过叫NetworkPolicy的API对象来描述的。如下一个完整的NetworkPolicy定义：

02

kubernetes集群网络

问题：Pod是K8S最小调度单元，一个Pod由一个容器或多个容器组成，当多个容器时，怎么都用这一个Pod IP？

04

TKE nginx-ingress 开启ip白名单限制和透传client源IP

最近TKE迎来了nginx-ingress 插件的到来，此篇文章将结合TKE nginx-ingress插件，实现IP白名单配置和service透传client源IP的功能

03

CVE-2020-8554：Kubernetes的中间人漏洞

漏洞概述 2020年12月4日，Kubernetes产品安全委员会披露了一个新的Kubernetes漏洞，即CVE-2020-8554。这是一个中危漏洞，所有的Kubernetes版本都会受到该漏洞的影响。该漏洞允许Kubernetes服务将集群流量拦截至任意IP地址，任何可以管理服务的用户可以利用此漏洞对群集中的Pod和节点执行中间人（MITM）攻击。攻击者可以利用MITM攻击伪装成内部或外部节点，然后从网络流量中获取凭证，在将目标用户的数据发送到其预期目标之前篡改目标用户的数据，或完全阻止其与特定IP

02

一文搞懂Kubernetes网络策略（上）

今天zouyee为大家带来《一文搞懂Kubernetes网络策略（上）》，其中《kuberneter调度由浅入深：框架》正在编写中，敬请期待，当前涉及版本均为1.20.+。

02

聊聊部署在K8S的项目如何获取客户端真实IP

最近部门有个需求，需要对一些客户端IP做白名单，在白名单范围内，才能做一些业务操作。按我们的部门的一贯做法，我们会封装一个client包，提供给业务方使用。（注：我们的项目是运行在K8S上）本以为这是一个不是很难的功能，部门的小伙伴不到一天，就把功能实现了，他通过本地调试，可以获取到正确的客户端IP，但是发布到测试环境，发现获取到的客户端IP一直是节点的IP，后面那个小伙伴排查了很久，一直没头绪，就找到我帮忙一直排查一下。今天文章主要就是来复盘这个过程

07

聊聊部署在K8S的项目如何获取客户端真实IP

最近部门有个需求，需要对一些客户端IP做白名单，在白名单范围内，才能做一些业务操作。按我们的部门的一贯做法，我们会封装一个client包，提供给业务方使用。（注：我们的项目是运行在K8S上）本以为这是一个不是很难的功能，部门的小伙伴不到一天，就把功能实现了，他通过本地调试，可以获取到正确的客户端IP，但是发布到测试环境，发现获取到的客户端IP一直是节点的IP，后面那个小伙伴排查了很久，一直没头绪，就找到我帮忙一直排查一下。今天文章主要就是来复盘这个过程

01

【重识云原生】第六章容器基础6.4.8节—— Network Policy

网络策略（NetworkPolicy）是一种关于 Pod 间及与其他Network Endpoints间所允许的通信规则的规范。NetworkPolicy资源使用标签选择 Pod，并定义选定 Pod 所允许的通信规则。网络策略通过网络插件来实现。要使用网络策略，用户必须使用支持 NetworkPolicy 的网络解决方案。默认情况下，Pod间是非隔离的，它们接受任何来源的流量。Pod 可以通过相关的网络策略进行隔离。一旦命名空间中有网络策略选择了特定的 Pod，该 Pod 会拒绝网络策略所不允许的连接(命名空间下其他未被网络策略所选择的 Pod 会继续接收所有的流量)。网络策略不会冲突，它们是附加的。如果任何一个或多个策略选择了一个 Pod, 则该 Pod 受限于这些策略的 ingress/egress 规则的并集。因此策略的顺序并不会影响策略的结果。

02

在 Kubernetes 中如何给 NodePort 配置 NetworkPolicy

如上图，业务方需要隔离 namespae 的服务，禁止 bar 空间的负载访问，而允许用户从 Load Balancer (LB) 通过 NodePort 访问服务。可以很容易地写出一个网络策略:

02

详解k8s组件Ingress边缘路由器并落地到微服务 - kubernetes

Ingress 英文翻译进入;进入权;进食，更准确的讲就是入口，即外部流量进入k8s集群必经之口。这到大门到底有什么作用？我们如何使用Ingress？k8s又是如何进行服务发现的呢？先看一张图：

02

Ingress控制器那么多，到底该选哪一个？

在Kubernetes中，service IP和Pod IP主要供集群内部访问使用，对于集群外部是不可见的。

02

Kubernetes 安全风险以及 29 个最佳实践

目前 Kubernetes 在容器编排市场中占据了主导地位，与此同时，众多组织在使用 Kubernetes 时或多或少遇到了安全问题。本文深入探讨使用 Kubernetes 时可能遇到的风险和挑战，并给出了对应的安全实践。

03

实现一个容器镜像白名单的准入控制器 | 视频文字稿

问卷链接（https://www.wjx.cn/jq/97146486.aspx）

02

实现一个容器镜像白名单的准入控制器 | 视频文字稿

前面我们已经介绍了准入控制器的含义，了解可以通过有两个特殊的“动态”控制器 -ValidatingAdmissionWebhook 和 MutatingAdmissionWebhook 来让开发者自行实现自己的准入逻辑。这两个控制器没有实现任何固定逻辑，相反，它们使我们能够在每次在集群中创建、更新或删除Kubernetes 资源时通过 webhooks 灵活地实现和执行自定义逻辑。

01

实现一个容器镜像白名单的 K8S 准入控制器 | 视频文字稿

前面我们已经介绍了准入控制器的含义，了解可以通过有两个特殊的“动态”控制器 -ValidatingAdmissionWebhook 和 MutatingAdmissionWebhook 来让开发者自行实现自己的准入逻辑。这两个控制器没有实现任何固定逻辑，相反，它们使我们能够在每次在集群中创建、更新或删除Kubernetes 资源时通过 webhooks 灵活地实现和执行自定义逻辑。

02

kubernetes | RBAC鉴权和PodAcl

基于centos7.9，docker-ce-20.10.18，kubelet-1.22.3-0

02

备战CKA每日一题——第10天 | 面试常问：允许A访问B，不允许C访问B，怎么做？

第一个Deploy文件cka-1128-01.yaml，使用radial/busyboxplus镜像是因为busybox里没有curl命令。

02

Ingress实现黑白名单

在Kubernetes集群中，Ingress是用于暴露HTTP和HTTPS服务的一种资源类型。它可以根据域名、路径和端口将流量路由到不同的服务，为开发人员提供了便利。Ingress控制器支持通过配置黑白名单来控制哪些IP地址可以访问服务。

03

如何在Ubuntu 14.04上安装和配置Naxsi

Naxsi是第三方Nginx模块，提供Web应用程序防火墙功能。它为您的Web服务器带来了额外的安全性，并保护您的服务器免受各种Web攻击，如XSS和SQL的注入。

00

k8s生产实践之获取客户端真实IP

通常web应用获取用户客户端的真实ip一个很常见的需求，例如将用户真实ip取到之后对用户做白名单访问限制、将用户ip记录到数据库日志中对用户的操作做审计等等

02

kubernetes-policy-controller项目搬家啦

kubernetes-policy-controller项目之前是在github.com/Azure托管。这里也简单介绍项目背景。

01

kubernetes（十八）集群网路

OSI（Open System Interconnection）是国际标准化组织（ISO）制定的一个用于计算机或通信系统间互联的标准体系，一般称为OSI参考模型或七层模型。

02

构建基于kubernetes的PaaS服务

工作中需要向外部提供一些诸如MySQL、Redis、MongoDB、Kafka之类的基础PaaS服务。以前每做一个PaaS都要自己去实现工作节点管理、实例调度、实例运维、实例监控等功能模块，实在是太累。这次花了些时间想了下，感觉基于Kubernetes做这个会简单很多。下面概要性地梳理下基于Kubernetes构建基础PaaS服务的过程。

02

视频案例 | AMS 新闻视频广告的云原生容器化之路

卓晓光，腾讯广告高级开发工程师，负责新闻视频广告整体后台架构设计，有十余年高性能高可用海量后台服务开发和实践经验。目前正带领团队完成云原生技术栈的全面转型。吴文祺，腾讯广告开发工程师，负责新闻视频广告流量变现相关后台开发工作，熟悉云原生架构在生产实践中的应用，拥有多年高性能高可用后台服务开发经验。目前正推动团队积极拥抱云原生。陈宏钊，腾讯广告高级开发工程师，负责新闻视频广告流量变现相关后台开发工作，擅长架构优化升级，有丰富的海量后台服务实践经验。目前专注于流量场景化方向的广告系统探索。一、引言新闻视

03

CKAD考试实操指南（七）---网络纵横谋略：服务和网络实战要诀

在这份CKAD考试实操指南中，我将为你详细介绍如何利用CKAD-exercises项目和知十平台进行CKAD考试的准备和复习。通过CKAD-exercises提供的练习题，你可以在知十平台的云原生环境中进行实践和模拟。在这个过程中，你将熟悉Kubernetes的各种操作和场景，并在实践中加深对知识的理解。这种结合实践和理论的学习方式将为你在考试中取得优异成绩提供强有力的支持。

03

一文读懂云原生网关

本文帮助大家读懂网关的基本概念，云原生网关的功能和规范，对比主流云原生网关产品做选型参考，限于篇幅，后续文章中会详细介绍几款主流网关的实现技术。

01

屏蔽国外IP访问的几种常用方法

网站的客户和受众人群都是国内的，不想让国外访问；或者站长监测到国外肉鸡一直有扫描或攻击。这时就需要对境外IP进行进行过滤和屏蔽；对IP进行过滤屏蔽一般有两种方法：加白和加黑。

08

Kubernetes之Network Policy

Kubernetes要求集群中所有pod，无论是节点内还是跨节点，都可以直接通信，或者说所有pod工作在同一跨节点网络，此网络一般是二层虚拟网络，称为pod网络。在安装引导kubernetes时，由选择并安装的network plugin实现。默认情况下，集群中所有pod之间、pod与节点之间可以互通。

03

一文拿下SSRF攻击利用及绕过保护机制

断断续续地继续漏洞之旅，这次讨论一下一个常见web漏洞：SSRF，浅析一下它是如何导致攻击者进入网络，以及如何发现它并且利用。

03

容器网络的访问控制机制分析

随着容器技术成熟和敏捷开发的推广，微服务技术在业界越来越得到普遍的应用，但业务微服务化后又引入了一些新的安全挑战，特别是在访问控制层面。例如：

01

怎么设置IP白名单

IP白名单是一种网络安全机制，用于限制只允许特定的IP地址或IP地址范围通过访问控制。在本文中，我将详细解释IP白名单的概念、用途以及如何设置IP白名单。

04

滴滴弹性云Kubernetes实践

当前Kubetnetes已经成为容器编排领域事实的行业标准，越来越多的公司选择使用Kubernetes来搭建其容器云平台。本次分享主要介绍滴滴弹性云在围绕Kubernetes打造企业级私有云过程中的一些实践经验和教训，为同样正走在企业云化转型道路上的朋友们提供一些启发和帮助。

02

Web 安全之恶意扫描

事情的起源来自某次凌晨四点，我正睡得香甜。突然被 NOC 一个电话打了过来，那头说终于打通了一个电话，给你们组其他人打电话都接不通，你们服务的请求量暴涨，麻烦帮看一下是什么问题。

04

Nginx Ingress的一些奇巧淫技

redirect主要用于域名重定向，比如访问a.com被重定向到b.com。如下我们配置访问ng.coolops.com重定向到www.baidu.com

02

Ingress-Nginx进阶学习实践扩充配置记录

描述: 在您在kubernetes搭建ingress并通过其访问集群内部部署的项目时，有些功能可能会存在如下报错：Access to XMLHttpRequest at ... has been blocked by CORS policy: No 'Access-Control-Allow-Origin' header is present on the requested resource. 上述错误提示这是一个跨域问题，在传统项目中我们更改Nginx配置即可，然后在kubernetes中或者ingress中，我们应该如何处理这种问题呢？

03

Istio 安全设置笔记

Istio 为网格中的微服务提供了较为完善的安全加固功能，在不影响代码的前提下，可以从多个角度提供安全支撑，官方文档做了较为详细的介绍，但是也比较破碎，这里尝试做个简介兼索引，实现过程还是要根据官方文档进行。

03

附029.Kubernetes安全之网络策略

在 ingress 的 from 部分或 egress 的 to 部分中指定四种选择器：

01

【容器云架构】了解 Kubernetes 网络模型

Kubernetes 网络使您能够在 k8s 网络内配置通信。它基于扁平网络结构，无需在主机和容器之间映射端口。 Kubernetes 网络支持容器化组件之间的通信。这种网络模型的主要优点是不需要在主机和容器之间映射端口。然而，配置 Kubernetes 网络模型并不是一件容易的事。在本文中，您将了解什么是 Kubernetes 网络，探索常见的实现，并发现关键的 Kubernetes 网络变化。什么是 Kubernetes 网络？ Kubernetes (k8s) 是一个开源容器编排平台。您可以使用

02

Getting Started and Beyond｜云原生应用负载均衡选型指南

冉昕，腾讯云服务网格TCM产品经理，现负责云原生流量接入网关与应用通信可观测性等产品特性策划与设计工作。

06

用Kube-router实现网络隔离

Network Policy是k8s提供的一种资源，用于定义基于pod的网络隔离策略。它描述了一组pod是否可以与其它组pod，以及其它network endpoints进行通信。

04

K8s Network Policy Controller之Kube-router功能介绍

Network Policy是k8s提供的一种资源，用于定义基于pod的网络隔离策略。它描述了一组pod是否可以与其它组pod，以及其它network endpoints进行通信。

01

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭