问题描述
是否可以阻止来自 sidecar 容器的出口网络访问?
我正在尝试实现在一个 sidecar 容器中运行一些不受信任的代码的能力,该容器通过同一 pod 中的另一个受信任容器公开,具有完全网络访问权限。
一个 pod 中的 2 个容器似乎不能有不同的网络策略。有没有办法实现类似的功能?
作为旁注,我确实控制了 sidecar 图像,它为不受信任的代码提供运行时。
解决方法
您是对的,一个 Pod 中的所有容器共享相同的网络,因此您无法轻松区分它。一般来说,Kubernetes 不适合运行你认为是恶意的代码。你可以围绕 Kubernetes 构建这样一个系统,但 K8s 本身还远远不够。