Kubernetes NetworkPolicy
Kubernetes NetworkPolicy е спецификация, която дефинира правилата за мрежова комуникация между групи от подове (pods) и други мрежови крайни точки в рамките на Kubernetes клъстер. Тя позволява на администраторите да налагат принципа на най-малките привилегии на мрежово ниво, като изолират трафика по подразбиране (default-deny) и разрешават само изрично описани връзки.
Ограничения
Стандартните мрежови политики в Kubernetes работят на нива L3/L4 (мрежово и транспортно ниво от OSI модела). Те филтрират трафика на базата на IP адреси, CIDR блокове, портове и протоколи (TCP/UDP), което води до следните недостатъци при съвременни AI среди:
- Липса на FQDN видимост: Не могат да разграничат легитимни адреси (например API на GitHub) от злонамерени сървъри, когато и двата адреса стоят зад една и съща CDN мрежа с често ротиращи се IP адреси.
- Липса на инспекция на SNI/TLS: Не могат да анализират името на хоста (SNI) при установяване на криптирана връзка.
- Липса на контекст за произхода на трафика: Не могат да идентифицират конкретния Model Context Protocol (MCP) сървър или инструмент, задействал мрежовата заявка.