サービスを互いに分離しようとしています。Google Container Engineサブネット
と仮定OPSヒトは、Googleのコンテナエンジン上で実行されているMySQLの記憶の束を有し、DEV-ヒトは同じクラスタ上で動作しているノードアプリの束を有します。 dev-humanは、ops-humanの mysqlインスタンスのいずれにもアクセスできないようにします。
最も簡単な解決策:これらの両方を別々のサブネットに配置します。そんなことをどうやってやるの?私は他の実装にもオープンしています。
Kubernetes Network-SIGチームはしばらくの間ネットワーク隔離の問題に取り組んでおり、これをサポートするためのkubernetes 1.2の実験的なAPIがあります。基本的な考え方は、名前空間ごとにネットワークポリシーを提供することです。サードパーティのネットワークコントローラは、リソースへの変更に対応し、ポリシーを適用することができます。詳細については、このトピックの最後のblog postを参照してください。
EDIT:この回答は、オープンソースのkubernetesについてのものであり、特にGKEではありません。
NetworkPolicyリソースは、アルファクラスター(see latest blog post)のGKEで利用できるようになりました。
異なる[名前空間](http://kubernetes.io/docs/admin/namespaces/)にそれらを置くと、問題は解決されますか? – caesarxuchao
@caesarxuchao名前空間は、すべてのデータベースに "db"という名前を付けるなど、ユーザーエラー(または便利な設定)から保護します。その名前空間内のローカル "db"が見つかります。しかし、FQDNを使用していて、Kubernetesのようなフラットなネットワークを使用している場合は、ネームスペース外の別のリソースにアクセスすることができます。 devとopsを同じクラスタで稼働させることは絶対にありません.developerが必要とするリソースを追い出すいくつかの新しいコードを生成すればどうでしょうか? –