NetworkPolicy访问控制

于 2024-09-28 20:28:42 发布
阅读量373 收藏
点赞数 12
分类专栏: K8S 文章标签: kubernetes 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/F_0125/article/details/142621083
版权

   NetworkPolicy是Kubernetes中一种用于控制Pod之间以及Pod与外部网络之间流量的资源对象。它可以帮助你在 IP 地址或端口层面(OSI 第 3 层或第 4 层)控制网络流量。NetworkPolicy 资源使用标签选择 Pod,并定义选定 Pod 所允许的通信规则。它可以控制 Pod 的入站(Ingress)和出站(Egress)流量。

   使用场景

微服务架构:在微服务架构中,不同的服务通常部署在不同的Pod中。使用NetworkPolicy可以控制服务之间的网络访问,提高安全性。

敏感数据保护:对于处理敏感数据的应用,可以使用NetworkPolicy限制对这些Pod的访问,减少数据泄露的风险,特别是一些需要暴露到外网的Pod。

东西向流量控制:在云原生和微服务场景下,内部网络的东西向通信流量剧增。NetworkPolicy可以帮助控制这些流量,确保只有授权的流量可以通过。

基于命名空间的隔离:通过NetworkPolicy,可以基于命名空间的标签来控制网络访问。只允许特定命名空间的Pod访问某些服务。

要在 Kubernetes 中创建一个 NetworkPolicy:

apiVersion: networking.k8s.io/v1  # API 版本
kind: NetworkPolicy  # 资源类型是 NetworkPolicy
metadata:
  name: example-network-policy  # NetworkPolicy 的名称
  namespace: default  # NetworkPolicy 所在的命名空间
spec:
  podSelector:
    matchLabels:
      role: db  # 选择具有标签 "role=db" 的 Pod
  policyTypes:
  - Ingress  # 定义入站规则
  - Egress  # 定义出站规则
  ingress:
  - from:
    - ipBlock:
        cidr: 172.17.0.0/16  # 允许来自 172.17.0.0/16 网段的流量
        except:
        - 172.17.1.0/24  # 但排除 172.17.1.0/24 网段
    - namespaceSelector:
        matchLabels:
          project: myproject  # 允许来自具有标签 "project=myproject" 的命名空间的流量
    - podSelector:
        matchLabels:
          role: frontend  # 允许来自具有标签 "role=frontend" 的 Pod 的流量
    ports:
    - protocol: TCP  # 允许的协议是 TCP
      port: 6379  # 允许的端口是 6379
  egress:
  - to:
    - ipBlock:
        cidr: 10.0.0.0/24  # 允许流向 10.0.0.0/24 网段
    ports:
    - protocol: TCP  # 允许的协议是 TCP
      port: 5978  # 允许的端口是 5978

应用配置文件: 使用 kubectl 命令将配置文件应用到 Kubernetes 集群中:

kubectl apply -f example-network-policy.yaml

验证 NetworkPolicy: 确认 NetworkPolicy 已正确创建并生效:

kubectl get networkpolicy -n default

F_0125
关注
专栏目录
CKS认证-NetworkPolicy 访问控制
m0_46913617的博客
08-05 337
本文主要是介绍CKS认证考试相关的题目和注意事项
【CKS】考试之 NetworkPolicy 访问控制
sinat_33076015的博客
09-07 153
官网搜索: networkpolicy 官网位置:网络策略。
网络策略控制集群内部通信-networkpolicy
m0_57911290的博客
01-13 8847
默认情况下,Kubernetes集群网络没任何网络限制,Pod可以与任何其他pod通信,在某些场景下就需要进行网络控制,减少网络攻击面,提高安全性,这就会用到网络策略。需求:test命名空间下所有pod可以互相访问,也可以访问其他命名空间pod,但其他命名空间pod不能访问test命名空间pod。允许prod命名空间中的pod访问,及其他命名空间中的pod标签为app=client1的pod访问。需求:允许其他命名空间test命名空间指定pod,pod标签app=web。测试外部pod访问(拒绝访问)
安全保障基于软件全生命周期-NetworkPolicy应用
qiaotl的博客
07-26 292
通过实际例子演示NetworkPolicy工作原理。
NetworkPolicy
喝醉酒的小白
09-18 561
基于策略的网络控制
k8s学习-网络策略NetworkPolicy(概念、模版、创建、删除等)
关注网络安全、云原生安全
09-11 2716
3.(Egress 规则)允许 “default” 命名空间中任何带有标签 “role=db” 的 Pod 到 CIDR 10.0.0.0/24 下 5978 TCP 端口的连接。k8s的命名空间是没有强制隔离性的,访问service时加上.namespace的名称即可。:此选择器将选择特定的名字空间,应将所有 Pod 用作其入站流量来源或出站流量目的地。k8s的Pod是没有隔离行的,任意命名空间下的Pod可以访问任意命名空间下的Pod。的 to/from 条目选择特定名字空间中的特定 Pod。
Kubernetes NetworkPolicy 网络策略浅析
DwanCloud
03-30 836
Kubernetes 中,NetworkPolicy 是一种用于控制 Pod 之间网络通信的资源对象。它允许用户定义一组规则,规定哪些 Pod 可以相互通信,从而实现网络隔离和安全性。NetworkPolicy 基于标签选择器来识别应用策略的 Pod,并使用入站(Ingress)和出站(Egress)规则来控制流量,提供Pod级别和 Namespace级别网络访问控制基于标签选择器:通过标签选择器来选择应用策略的 Pod。入站和出站规则:定义允许的入站和出站流量规则。
Kubernetes NetworkPolicy
散步的博客
05-06 545
网络策略(网络隔离策略) https://kubernetes.io/zh/docs/concepts/services-networking/network-policies/ 指定Pod间的网络隔离策略,默认是所有互通。 Pod 之间互通,是通过如下三个标识符的组合来辩识的: 其他被允许的 Pods(例外:Pod 无法阻塞对自身的访问) 被允许的名称空间 IP 组块(例外:与 Pod 运行所在的节点的通信总是被允许的, 无论 Pod 或节点的 IP 地址) 1、Pod隔离与非隔离 默认情况下,
KubernetesNetwork Policy
山不转的博客
07-27 2266
概述 Kubernetes要求集群中所有pod,无论是节点内还是跨节点,都可以直接通信,或者说所有pod工作在同一跨节点网络,此网络一般是二层虚拟网络,称为pod网络。在安装引导kubernetes时,由选择并安装的network plugin实现。默认情况下,集群中所有pod之间、pod与节点之间可以互通。 网络主要解决两个问题,一个是连通性,实体之间能够通过网络互通。另一个是隔离性,出于安...
k8s-使用-NetworkPolicy-屏蔽恶意-IP-访问
lin2ur的博客
04-22 459
虽然大多数情况下都不会造成安全问题,但是也会对服务造成一定的影响,比如日志被刷爆、服务被拖慢等。可以用来限制 Pod 的出入站流量,一般用于在多租户集群中隔离不同租户的网络流量,也可以用来限制外部目标访问 Pod 的流量。默认情况下 Pod 的出入站流量都是开放的,即任何 Pod 都可以被集群内的其它 Pod 或通过 Service 被集群外的目标访问,Pod 也能访问集群内外的任何目标,的 Pod,其它 Pod 的访问将被拒绝,由此可以看出 NetworkPolicy 是一种白名单策略。
k8s中的NetworkPolicy
04-04
NetworkPolicy通常用于实现安全策略,例如限制来自不信任的Pod的访问,或者限制特定应用程序的网络访问。它也可以用于优化网络性能,例如限制不必要的流量。 Kubernetes支持两种类型的NetworkPolicy:入站和出站。...
云原生(二十三) | Kubernetes篇之Kubernetes 网络策略(NetworkPolicy
Lansonli(蓝深李)的博客
06-11 1157
网络策略(网络隔离策略)网络策略 | Kubernetes指定Pod间的网络隔离策略,默认是所有互通。Pod 之间互通,是通过如下三个标识符的组合来辩识的:其他被允许的 Pods(例外:Pod 无法阻塞对自身的访问)被允许的名称空间IP 组块(例外:与 Pod 运行所在的节点的通信总是被允许的, 无论 Pod 或节点的 IP 地址) 默认情况下,Pod网络都是非隔离的(non-isolated),可以接受来自任何请求方的网络请求。如果一个 NetworkPolicy 的标签选择器选中了某个 Pod.....
Kubernetes NetworkPolicy 工作原理浅析
HULK一线技术杂谈
03-08 2306
女主宣言Kubernetes能够把集群中不同Node节点上的Pod连接起来,并且默认情况下,每个Pod之间是可以相互访问的。但在某些场景中,不同的Pod不应该互通,这个时候就需要进行访问控制。那么如何实现呢?本文最先发布于 opsdev,转载已获取作者授权。 PS:丰富的一线技术、多元化的表现形式,尽在“HULK一线技术杂谈”,点关注哦!简介Kubernetes提供了NetworkPolicy的F
kubernetes K8S 挂载分布式存储 ceph
it知识分享 free for nothing..
09-25 1144
kubernetes K8S 挂载分布式存储 ceph
k8s中,服务的自动注册、自动感知、负载均衡,三个功能的含义及测试验证
2401_84019227的博客
09-25 402
自动注册,指的是服务创建之后,会自动在k8s的kube-dns服务注册,实现域名和ip的映射,kube-dns是一个系统服务,在部署k8s的时候就有这个服务了,这个服务在kube-system系统名称空间下。其他创建的服务,来找这个dns服务,自动注册。负载均衡,指的是,当一个服务后端有多个pod的时候,访问服务的请求,会自动在后端pod之间实现负载均衡,不用配置。自动感知,指的是客户端只用访问服务的ip,而不用关心pod在哪个节点,以及pod的ip是多少。没有被dns解析为i。
k8s搭建一主三从的mysql8集群---无坑
最新发布
oopxiajun博客专栏
09-27 498
对于构建基于MySQL的大规模、高性能应用来讲,需要使用水平扩展(集群)的数据库架构方式。在MySQL内建的复制功能可以实现,通过为服务器配置一个或多个备库的方式来进行数据同步。同时复制功能不仅有利于构建高性能的应用,也是高可用性、可扩展性、容灾、备份以及数据仓库等工作的基础。复制的基本原理是让一台服务器的数据与其他服务器保持同步。一台主库的数据可以同步到多台备库上,备库本身也可以被配置成另外一台服务器的主库。主库和备库之间可以有多种不同的组合方式。
k8s基于nfs创建storageClass
ltgsoldier1的博客
09-25 108
【代码】k8s基于nfs创建storageClass。
K8s Calico替换为Cilium,以及安装Cilium过程(鲁莽版)
博然的宝藏库
09-22 603
这将会下载并解压 Cilium 的 Helm Chart 到当前目录下的 `cilium` 文件夹中。### 步骤 3:下载 Cilium Helm Chart 到本地。### 步骤 2:添加 Cilium Helm 仓库。#### 添加 Cilium Helm 仓库。### 步骤 1:安装 Helm。#### 安装 Helm。一、删除Calico。二、下载Cilium。三、安装Cilium。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值