如何解决如何在 Kubernetes 中沙箱化不受信任的代码
是否可以阻止来自 sidecar 容器的出口网络访问? 我正在尝试实现在一个 sidecar 容器中运行一些不受信任的代码的能力,该容器通过同一 pod 中的另一个受信任容器公开,具有完全网络访问权限。 一个 pod 中的 2 个容器似乎不能有不同的网络策略。有没有办法实现类似的功能? 作为旁注,我确实控制了 sidecar 图像,它为不受信任的代码提供运行时。
解决方法
您是对的,一个 Pod 中的所有容器共享相同的网络,因此您无法轻松区分它。一般来说,Kubernetes 不适合运行你认为是恶意的代码。你可以围绕 Kubernetes 构建这样一个系统,但 K8s 本身还远远不够。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。