TiDB 在K8S里怎么授权比较合适?因为业务pod会因为重启而不断变化。

大家好,我们遇到了一个问题,传统数据库会用grant privilege 给特定的ip授权访问,但是在k8s内,业务app也是pod,也会随时重启,ip会随时变,grant privilege给特定ip授权就不可行了。但是又不想授权给%, 大家有什么相关经验吗?

可以参考网上的一些方法试试固定业务的ip
https://www.kubernetes.org.cn/4289.html

目前我们有一套系统是要求固定ip的,但是感觉这样不够灵活,所以在考虑能不能在保持灵活性的前提下,又能精准的限制权限。

尝试一下 static pod

其实用单独的 user:pass 已经是一种限制了,感觉 ip 可以是 %,适当松一些也还好

把pod绑定到一个node上就更不灵活了。

Pod 默认是非隔离的,允许任何来源的网络请求。

如果你的 k8s 网络插件支持 “网络策略” 的话,可以配置个网络策略,只允许某些 pod (podSelector) 来访问 tidb server pod; 这样就可以放心 GRANT 给来自 ‘%’ 的 MySQL 用户了

参考 k8s-network-policies

此话题已在最后回复的 1 分钟后被自动关闭。不再允许新回复。