第19章:Kubernetes NetworkPolicy

已于 2023-11-25 23:22:57 修改
阅读量365 收藏 9
点赞数 10
分类专栏: Kubernetes学习笔记 文章标签: kubernetes docker 容器 云原生
于 2023-11-25 23:22:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Davidwatt/article/details/134622219
版权

目录

Calico相关

Calico,支持BGP路由学习功能;支持IPIP,是种三层隧道网络;

Calico的默认网段:192.168.0.0/16,支持IPtables和IPvs(Calico在v3.17及以上版本才开始支持IPVS模式)

这里是Flannel(IPAM)+Calico(NetworkPolicy)

参考链接:Installing Calico for policy and flannel (aka Canal) for networking

具体操作命令:curl https://raw.githubusercontent.com/projectcalico/calico/v3.26.4/manifests/canal.yaml -O
在这里插入图片描述

policyTypes(控制规则是否生效,默认拒绝)

  • egress:to(ipBlock / namespaceSelector / podSelector), ports(port + protocol);
  • Ingress:from(ipBlock / namespaceSelector / podSelector), ports(port + protocol);

Network Policy

网络策略:

初始名称空间namespace级别的网络安全策略设置:

  • 建议拒绝所有出站和所有入站的规则;

  • 放行所有出站和入站目标地址为自身所在名称空间内的所有Pod;

NetworkPolicy的示例yaml:

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: test-network-policy
  namespace: default
spec:
  podSelector:
    matchLabels:
      role: db
  policyTypes:
    - Ingress
    - Egress
  ingress:
    - from:
        - ipBlock:
            cidr: 172.17.0.0/16
            except:
              - 172.17.1.0/24
        - namespaceSelector:
            matchLabels:
              project: myproject
        - podSelector:
            matchLabels:
              role: frontend
      ports:
        - protocol: TCP
          port: 6379
  egress:
    - to:
        - ipBlock:
            cidr: 10.0.0.0/24
      ports:
        - protocol: TCP
          port: 5978

参考链接:Network Policy

Davidwatt
关注
  • 10
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
kubeadm 安装 Kubernetes 1.16.3 (CentOS7+IPVS+Calico)
sonicning的专栏
10-28 1592
转自http://mydlq.club/article/50/http://mydlq.club/article/28/ 目录 一、更新系统内核(全部节点) 二、基础环境设置(全部节点) 1、修改 Host 2、修改 Hostname 3、主机时间同步 4、关闭防火墙服务 5、关闭并禁用SELinux 6、禁用 Swap 设备 7、设置内核参数 8、配置 IPVS 模块 9、配置资源限制 10、安装依赖包以及相关工具 三、安装Docker(全部节点) 1、移除之前安装...
12张图带你轻松了解 calico 6种场景下宿主机和pod互访的iptables规则链流转情况【上】
weixin_42072280的博客
01-13 2507
iptables -t raw -A OUTPUT -p icmp -j LOG iptables -t raw -A PREROUTING -p icmp -j LOG iptables -t raw -A OUTPUT -p icmp -j TRACE iptables -t raw -A PREROUTING -p icmp -j TRACE 场景一: 从宿主机到容器 # master节点 tcpdump -nn -i cali8b980351434 -w 1-master...
k8s系列(十七:实例)Calico网络策略
xopqaaa的博客
01-15 1035
https://docs.projectcalico.org/v3.10/getting-started/kubernetes/ 基于BGP的方式来构建网络另外可以基于IPIP,基于ip报文承载另一个ip报文,也支持ipip隧道 calico服务于192.168.0.0/16 calico不支持ipvs支持iptables 部署 Egress:pod访问目标,对方地址、端口...
K8S-Demo集群实践12:部署Calico网络
jasonhe2018的博客
01-21 1402
K8S-Demo集群实践:部署Calico网络一、准备镜像二、部署Calico网络插件1、下载yaml文件2、修改 calico.yaml3、部署calico三、检查Calico网络状态1、查看calico进程2、检查calico网络配置四、calicoctl简介1、下载calicoctl命令行工具2、查看网络状态3、查看网络资源五、问题参考 Pod跨宿主机网络通讯方案主要有Flannel,Calico,Weave,Contiv等 k8s-demo集群采用Calico网络组建,有两种实现方式IPIP(默认
kubernetes】二进制部署k8s集群之cni网络插件flannel和calico工作原理(中)
liu_xueyin的博客
02-22 1871
/在 master01 节点上操作#上传 calico.yaml 文件到 /opt/k8s 目录中,部署 CNI 网络#修改里面定义Pod网络(CALICO_IPV4POOL_CIDR),与前面kube-controller-manager配置文件指定的cluster-cidr网段一样#等 Calico Pod 都 Running,节点也会准备就绪---------- node02 节点部署 ----------//在 node01 节点上操作cd /opt/
examples:Kubernetes NetworkPolicy示例
04-01
**Kubernetes NetworkPolicy 示例** 在 Kubernetes 集群中,NetworkPolicy 是一种强大的工具,用于定义网络隔离策略,以控制Pod之间的通信。本资源库包含了各种类型的 NetworkPolicy 示例,帮助用户理解和实施网络...
npviz:Kubernetes NetworkPolicy可视化工具
05-16
npviz aka NetworkPolicy可视化工具 Npviz是一个简单的实用程序,它允许使用活动的kubectl上下文或使用YAML资源作为数据源的静态目录来查看Pod之间所有允许的连接。 它解析所有可用的工作负载和名称空间标签及其...
kubernetes-network-check:Kubernetes网络检查
03-16
"PodName": "kubernetes-network-check-p5h57", "PodIP": "10.42.224.0", "HostName": "kub-test-master3", "HostIP": "192.168.1.103" }, "Destination": { "PodName": "kubernetes-network-check-9p...
k8s教程:Kubernetes 安装部署教程+编程知识+技术开发
最新发布
06-13
k8s安装部署,k8s教程:Kubernetes 安装部署教程+编程知识+技术开发; k8s安装部署,k8s教程:Kubernetes 安装部署教程+编程知识+技术开发; k8s安装部署,k8s教程:Kubernetes 安装部署教程+编程知识+技术开发; k8...
读书摘要系列之《kubernetes权威指南·第四版》第一kubernetes入门
01-20
Kubernetes权威指南·第四版》第一主要介绍了Kubernetes(k8s)的基础知识,包括其核心概念和架构。Kubernetes作为一个容器编排系统,它不仅依赖于Docker作为容器化技术,还支持Rocker这样的替代品。Rocker是...
云原生|kubernetes|kubernetes的网络插件calico和flannel安装以及切换
zsk_john的技术分享专用博客
09-30 4510
答案是有,而且问题会比较大,我这里这个是错误的哈(由于我的集群是测试性质,无所谓喽,爱谁谁,一般service不会太多的,生产上就不好说了),如果常和网络打交道,应该明白,10.0.0.0/24只有254个可用IP地址,那么也就是说,如果你的service超过了254个,抱歉,在创建service会报错的哦(报错为:Internal error occurred: failed to allocate a serviceIP: range is full)。
死磕k8s之calico-环境准备
热门推荐
shen的博客
11-11 1万+
序言: 本篇文主要是列出了calico系列文解析的环境以及准备工作。 环境 k8s: v1.19.3 iptables: v1.4.21 route: 2.10-alpha calico: v3.16.4 tcpdump calico使用的是ipip模式,calico默认是ipip模式 k8s没有高可用安装,1个master节点,2个work节点 k8s没有使用ipvs 工具安装 calicoctl安装 calicoctl是calico社区提供一个全局查看calico网络的工具,类似kube
kubernetes(2)service、ingress、网络通信及calico
weixin_44743132的博客
01-23 1295
一、service Service可以看作是一组提供相同服务的Pod对外的访问接口。借助Service,应用可以方便地实现服务发现和负载均衡。Service 是由 kube-proxy 组件,加上 iptables 来共同实现的。kube-proxy 通过 iptables 处理 Service 的过程,需要在宿主机上设置相当多的 iptables 规则,如果宿主机有大量的Pod,不断刷新iptables规则,会消耗大量的CPU资源。 1.开启kube-proxy的ipvs模式 在 ipvs 模式下,
Centos7二进制部署k8s-v1.20.2 ipvs版本(kube-proxy、calico)
人走茶良的博客
09-08 889
一、部署kube-proxy 获取最新更新以及文用到的软件包,请移步点击:查看更新 1、创建csr请求文件 cat > kube-proxy-csr.json << EOF { "CN": "system:kube-proxy", "key": { "algo": "rsa", "size": 2048 }, "names": [ { "C": "CN", "ST": "Sichuan", "L": "
使用kubeadm安装kubernetes 1.13高可用集群(使用calico网络)
ck680617的博客
02-13 845
kubeadm安装kubernetes 1.13高可用集群 初始化集群: 配置hosts文件 vim /etc/hosts 192.168....
东西向流量组件 Calico 的落地实践
Tommy Xiao
10-28 451
Kubernetes 网络并没有原生的方案,它从一开始就给我们送来了一个选择题。到底选哪种网络方案才是最佳的方案呢?网络问题一直让社区用户很困惑,以至于在早期,不同场景下的方案如雨后春笋般涌现出来。其中比较优秀的就是今天选择给大家介绍的网络组件 Calico。这里我们要强调的是,Calico 方案并不是唯一方案,我们在社区仍然能看到很多优秀的方案比如 Cilium、OvS、Contiv、Flann...
k8s集群中部署Calico踩坑笔记
Cui_Cui_666的博客
10-09 1万+
部署注意事项 在使用 Calico 前当然最好撸一下官方文档,地址在这里 Calico 官方文档,其中部署前需要注意以下几点 官方文档中要求 kubelet 配置必须增加 --network-plugin=cni 选项 kube-proxy 组件必须采用 iptables proxy mode 模式(1.2 以后是默认模式) kubec-proxy 组件不能采用 --masquerade-all...
Kubernetes—集群内部网络通信
李少侠
03-23 723
目录前言容器间网络Pod间网络同节点Pod通信不同节点Pod通信Pod与Service间网络 前言 本文介绍了IPVS模式结合calico网络插件,在不同用例场景下流量是如何在kubernetes集群中流转的。 kubernetes的代理模式选择了IPVS模式,它可以将到达cluster ip的流量转发到真实的服务上。 而calico使用的是vxlan模式,帮助实现Pod跨节点通信。 本文主要简述了以下三种场景的网络通信: 容器间网络 Pod间网络 Pod与Service间网络 容器间网络 在同一个
轻松部署calico
那达慕的博客
09-27 2049
一、资源 官方文档 https://docs.projectcalico.org/v3.8/getting-started/kubernetes/installation/integration 二、Calico 部署注意事项 在使用 Calico 前当然最好撸一下官方文档,地址在这里 Calico 官方文档,其中部署前需要注意以下几点 官方文档中要求 kubelet 配置必须增加 --...
云计算入门:Kubernetes关键概念指南
"Kubernetes入门指南" 随着云计算的发展,Kubernetes作为容器编排领域的主导者,已经成为企业构建云原生应用的关键工具。本文档旨在为初学者提供一个全面的指导,帮助理解并掌握Kubernetes的核心概念。 **1. 定义...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Davidwatt

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值