Bloquear arquivos executáveis do contêiner.
Se você estiver usando o CNI Cilium, deverá especificar suas regras, além do CIDR e do FQDN, ao escolher a opção de bloqueio do arquivo executável do contêiner.
As regras para CIDR e FQDN para CNI Cilium são aplicadas somente para especificar recursos externos ao Kubernetes. Ao contrário de outros CNIs, onde os recursos podem ser identificados com rótulos, o tráfego para o recurso é bloqueado no caso de identificação do rótulo no CNI Cilium.
As regras do CNI Cilium são especificadas em conjunto com os valores CIDR e FQDN, separados por vírgulas, como segue:
entity:<ENTITY_NAME> -OR- endpoint:<NAMESPACE> -OR- service:<NAMESPACE>{|<LABEL_1_KEY>=<LABEL_2_VALUE>{,<LABEL_N_KEY>=LABEL_N_VALUE}}
em que:
<ENTITY_NAME> é o nome dos objetos que têm acesso aos Endpoints selecionados na rede e vice-versa. Os nomes de objetos possíveis estão listados na documentação do Cilium.<NAMESPACE> é o nome válido do namespace.<LABEL_1_KEY>=<LABEL1_VALUE> é o par chave-valor do rótulo do namespace (por exemplo, env = staging). Esse parâmetro é opcional e é especificado se necessário. O parâmetro =<LABEL1_VALUE> também é opcional porque o rótulo pode consistir apenas na chave (sem um valor). Nesse caso, o parâmetro é especificado da seguinte forma: <LABEL_1_KEY>.
<LABEL_N_KEY>=LABEL_N_VALUE é uma lista de rótulos de namespace, nos quais os rótulos são separados por vírgulas (por exemplo, app = test, component = api-v2, k8s-app = kube-dns). Esse parâmetro também é opcional e é especificado se necessário.Exemplos das regras do CNI Cilium:
entity:all
endpoint:default
endpoint:default|app=nginx
endpoint:default|app.nginx=web-prod
endpoint:default|app=nginx,env=prod
service:default|app=backend
service:kube-system|k8s-app=kube-dns
endpoint:devns1|app=test,component=api-v2
endpoint:dev-ns1|app=test,component=api.v2
endpoint:|app=test
Esse formato para definir regras e exclusões se aplica somente ao CNI Cilium. Se você usá-lo para outros CNIs, a solução ignorará as configurações especificadas incorretamente.
Aplicar políticas de rede que contêm nomes DNS
As políticas de rede que contêm nomes DNS podem ser usadas para configurar políticas de acesso para pontos de extremidade de rede nos quais o CNI Cilium não é usado. Essas políticas especificam nomes de domínio compatíveis com consultas DNS. O CNI Cilium pode usar um proxy DNS para determinar a associação de tais nomes de domínio com endereços IP com base nas respostas DNS recebidas dos endpoints da rede. As informações de endereço IP são obtidas usando as regras matchName ou matchPattern de todas as respostas DNS disponíveis para o CNI Cilium no nó.
As políticas de rede que contêm nomes DNS podem ser aplicadas somente se a opção --enable-l7-proxy=true for especificada na configuração do CNI Cilium. Se esta opção não for especificada, a solução não poderá aplicar políticas que contenham nomes DNS e um erro de conexão será exibido nas informações sobre ações de análise e monitoramento da atividade de rede.
Ao usar o CNI Cilium, você também deve levar em conta as regras para definir os valores das variáveis ao implementar os agentes do nó.
Topo da página