如何在 Kubernetes 中对不受信任的代码进行沙箱处理

【问题标题】:How to sandbox untrusted code in Kubernetes如何在 Kubernetes 中对不受信任的代码进行沙箱处理
【发布时间】:2021-06-06 00:25:39
【问题描述】:

是否可以阻止来自 sidecar 容器的出口网络访问? 我正在尝试实现在通过具有完全网络访问权限的同一 pod 中的另一个受信任容器公开的边车容器中运行一些不受信任的代码的功能。 一个 pod 中的 2 个容器似乎不能有不同的网络策略。有没有办法实现类似的功能? 作为旁注,我确实控制了为不受信任的代码提供运行时的 sidecar 图像。

【问题讨论】:

    标签: kubernetes kubernetes-pod sidecar


    【解决方案1】:

    您是对的,一个 pod 中的所有容器共享相同的网络,因此您无法轻松区分它。一般来说,Kubernetes 不适合运行您认为具有恶意的代码。你可以围绕 Kubernetes 构建这样的系统,但 K8s 本身还远远不够。

    【讨论】:

    • 是否可以对 sidecar 使用某种网络命名空间来阻止传出连接? (我拥有运行时映像,因此我可以在启动用户代码之前进行一些调整)
    • 并非如此。正如我所说,这不是一个好主意。不要运行用户代码,期间。
    猜你喜欢
    • 2015-07-07
    • 1970-01-01
    • 2012-08-25
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2019-08-23
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode