一 Kubernetes網路策略
1.1 策略說明
為實作細粒度的容器間網路訪問隔離策略,Kubernetes發布Network Policy,目前已升級為networking.k8s.io/v1穩定版本, Network Policy的主要功能是對Pod間的網路通信進行限制和準入控制,設定方式為將Pod的Label作為查詢條件,設定允許訪問或禁止訪問的客戶端Pod串列,目前查詢條件可以作用于Pod和Namespace級別, 為了使用Network Policy,Kubernetes引入了一個新的資源物件Network Policy,供用戶設定Pod間網路訪問的策略,但僅定義一個網路策略是無法完成實際的網路隔離的,還需要一個策略控制器(Policy Controller)進行策略的實作, 策略控制器由第三方網路組件提供,目前Calico、Cilium、Kube-router、Romana、WeaveNet等開源專案均支持網路策略的實作,Network Policy的作業原理如下所示,policy controller需要實作一個API Listener,監聽用戶設定的Network Policy定義,并將網路訪問規則通過各Node的Agent進行實際設定(Agent則需要通過CNI網路插件實作),
1.2 網路策略配置
網路策略的設定主要用于對目標Pod的網路訪問進行限制,在默認情況下對所有Pod都是允許訪問的,在設定了指向Pod的Network Policy網路策略之后,訪問Pod將會被限制, 示例1: [root@k8smaster01 study]# vi networkpolicy_01.yaml1 apiVersion: networking.k8s.io/v1 2 kind: NetworkPolicy 3 metadata: 4 name: test-network-policy 5 namespace: default 6 spec: 7 podSelector: 8 matchLabels: 9 role: db 10 policyTypes: 11 - Ingress 12 - Egress 13 ingress: 14 - from: 15 - ipBlock: 16 cidr: 172.17.0.0/16 17 except: 18 - 172.17.1.0/24 19 - namespacesSelector: 20 matchLabels: 21 project: mopoject 22 - podSelector: 23 matchLabels: 24 role: frontend 25 ports: 26 - protocol: TCP 27 port: 6379 28 egress: 29 - to: 30 - ipBlock: 31 cidr: 10.0.0.0/24 32 ports: 33 - protocol: TCP 34 port: 5978引數解釋:
- podSelector:用于定義該網路策略作用的Pod范圍,本例的選擇條件為包含“role=db”標簽的Pod,
- policyTypes:網路策略的型別,包括ingress和egress兩種,用于設定目標Pod的入站和出站的網路限制,
- ingress:定義允許訪問目標Pod的入站白名單規則,滿足from條件的客戶端才能訪問ports定義的目標Pod埠號,
- -from:對符合條件的客戶端Pod進行網路放行,規則包括基于客戶端Pod的Label、基于客戶端Pod所在的Namespace的Label或者客戶端的IP范圍,
- -ports:允許訪問的目標Pod監聽的埠號,
- egress:定義目標Pod允許訪問的“出站”白名單規則,目標Pod僅允許訪問滿足to條件的服務端IP范圍和ports定義的埠號,
- -to:允許訪問的服務端資訊,可以基于服務端Pod的Label、基于服務端Pod所在的Namespace的Label或者服務端IP范圍,
- -ports:允許訪問的服務端的埠號,
- 該網路策略作用于Namespace“default”中含有“role=db”Label的全部Pod,
- 允許與目標Pod在同一個Namespace中的包含“role=frontend”Label的客戶端Pod訪問目標Pod,
- 允許屬于包含“project=myproject”Label的Namespace的客戶端Pod訪問目標Pod,
- 允許從IP地址范圍“172.17.0.0/16”的客戶端Pod訪問目標Pod,但是不包括IP地址范圍“172.17.1.0/24”的客戶端,
- 允許目標Pod訪問IP地址范圍“10.0.0.0/24”并監聽5978埠的服務,
1 - from: 2 - namespacesSelector: 3 matchLabels: 4 project: mopoject 5 - podSelector: 6 matchLabels: 7 role: frontend如上表示允許訪問目標Pod的來源客戶端Pod應具有如下屬性:屬于有“project=myproject”標簽的Namespace,并且有“role=frontend”標簽,
1.3 Namespace級別策略
在Namespace級別還可以設定一些默認的全域網路策略,以方便管理員對整個Namespace進行統一的網路策略設定, 示例1:默認禁止任何客戶端訪問該Namespace中的所有Pod,1 apiVersion: networking.k8s.io/v1 2 kind: NetworkPolicy 3 metadata: 4 name: default-deny 5 spec: 6 podSelector: {} 7 policyTypes: 8 - Ingress示例2:默認允許任何客戶端訪問該Namespace中的所有Pod,
1 apiVersion: networking.k8s.io/v1 2 kind: NetworkPolicy 3 metadata: 4 name: allow-all 5 spec: 6 podSelector: {} 7 ingress: 8 - {} 9 policyTypes: 10 - Ingress示例3:默認禁止該Namespace中的所有Pod訪問外部服務,
1 apiVersion: networking.k8s.io/v1 2 kind: NetworkPolicy 3 metadata: 4 name: default-deny 5 spec: 6 podSelector: {} 7 policyTypes: 8 - Egress示例4:默認允許該Namespace中的所有Pod訪問外部服務,
1 apiVersion: networking.k8s.io/v1 2 kind: NetworkPolicy 3 metadata: 4 name: allow-all 5 spec: 6 podSelector:{} 7 egress: 8 - {} 9 policyTypes: 10 - Egress示例5:默認禁止任何客戶端訪問該Namespace中的所有Pod,同時禁止訪問外部服務,
1 apiVersion: networking.k8s.io/v1 2 kind: NetworkPolicy 3 metadata: 4 name: default-deny 5 spec: 6 podSelector: {} 7 policyTypes: 8 - Ingress 9 - Egress
轉載請註明出處,本文鏈接:https://www.uj5u.com/caozuo/120946.html
標籤:Linux
上一篇:grep 查找關鍵字的數量
下一篇:Linux下新建txt檔案并編輯