共计 1929 个字符,预计需要花费 5 分钟才能阅读完成。
丸趣 TV 小编给大家分享一下 kubernetes 中 NetworkPolicy 有什么用,希望大家阅读完这篇文章之后都有所收获,下面让我们一起去探讨吧!
一:简介
1.Kubernetes 的一个重要特性就是要把不同 node 节点的 pod 连接起来,无视物理节点的限制。但是在某些应用环境中,比如公有云,不同租户的 pod 不应该互通,这个时候就需要网络隔离。幸好,Kubernetes 提供了 NetworkPolicy,支持按 Namespace 级别的网络隔离。Network Policy 提供了基于策略的网络控制,用于隔离应用并减少攻击面。它使用标签选择器模拟传统的分段网络,并通过策略控制它们之间的流量以及来自外部的流量。
2.Kubernetes 提供了 NetworkPolicy,支持按 Namespace 和按 Pod 级别的网络访问控制。它利用 label 指定 namespaces 或 pod,底层用 iptables 实现。不是所有的 Kubernetes 网络方案都支持 Network Policy。比如 Flannel 就不支持,Calico 是支持的。
3.
a. 通过 kubectl client 创建 network policy 资源;
b.calico 的 policy-controller 监听 network policy 资源,获取到后写入 calico 的 etcd 数据库;
c.node 上 calico-felix 从 etcd 数据库中获取 policy 资源,调用 iptables 做相应配置。
二:NetworkPolicy 资源配置
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: test-network-policy
namespace: default
spec:
podSelector:
matchLabels:
role: db
ingress:
– from:
– namespaceSelector:
matchLabels:
project: myproject
– podSelector:
matchLabels:
role: frontend
ports:
– protocol: TCP
port: 6379
1.podSelector:每个 NetworkPolicy 包含一个 podSelector,它可以选择一组应用了网络策略的 Pod。由于 NetworkPolicy 当前只支持定义 ingress 规则,这个 podSelector 实际上为该策略定义了一组“目标 Pod”。示例中的策略选择了标签为“role=db”的 Pod。一个空的 podSelector 选择了该 Namespace 中的所有 Pod。
2.ingress:每个 NetworkPolicy 包含了一个白名单 ingress 规则列表。每个规则只允许能够匹配上 from 和 ports 配置段的流量。示例策略包含了单个规则,它从这两个源中匹配在单个端口上的流量,第一个是通过 namespaceSelector 指定的,第二个是通过 podSelector 指定的。
3. 在“default”Namespace 中 隔离了标签“role=db”的 Pod(如果他们还没有被隔离);在“default”Namespace 中,允许任何具有“role=frontend”的 Pod,连接到标签为“role=db”的 Pod 的 TCP 端口 6379;允许在 Namespace 中任何具有标签“project=myproject”的 Pod,连接到“default”Namespace 中标签为“role=db”的 Pod 的 TCP 端口 6379。
三:默认策略
1. 通过创建一个可以选择所有 Pod 但不允许任何流量的 NetworkPolicy,你可以为一个 Namespace 创建一个“默认的”隔离策略。
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: default-deny
spec:
podSelector:
2. 在 Namespace 中,如果你想允许所有的流量进入到所有的 Pod(即使已经添加了某些策略,使一些 Pod 被处理为“隔离的”),你可以通过创建一个策略来显式地指定允许所有流量。
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: allow-all
spec:
podSelector:
ingress:
– {}
看完了这篇文章,相信你对“kubernetes 中 NetworkPolicy 有什么用”有了一定的了解,如果想了解更多相关知识,欢迎关注丸趣 TV 行业资讯频道,感谢各位的阅读!
