2 个回答
生产上把service配置成了nodepod,导致服务暴露在公网上造成了安全漏洞。这是非常大的血泪教训。一般生产上我们需要配置如下:
1、生产上禁止使用NodePort/LoadBalancer Service。仅允许使用ClusterIP。
2、配置NetworkPolicy强制流量管控,配合监控发现异常直接进行报警。
3、配置Cilium 基于身份的策略
4、添加防火墙策略,仅允许内部VPC访问NodePort范围(端口30000-32767)发布于:1个月前 (03-25) IP属地:
生产上部署了mongodb集群,使用的Immediate(立即绑定PVC)的模式,导致数据被随机覆盖,同时出现如下的错误:
MongoDB failed to lock file: /data/db/mongod.lockStatefulSet 创建时,一次性生成所有 PVC,由于 volumeBindingMode: Immediate,所有 PVC 立即绑定到随机 EBS 卷。部分 PVC 可能因 可用区 不匹配而绑定失败,转而“劫持”已有 PV。最终,多个 Pod 的 PVC 指向同一个 EBS 卷设置为:WaitForFirstConsumer 延迟绑定模式。发布于:1个月前 (03-24) IP属地:
我来回答
您需要 登录 后回答此问题!