Kube-OVN源码解析 | pod 安全组功能

最新推荐文章于 2024-05-28 15:29:09 发布
最新推荐文章于 2024-05-28 15:29:09 发布
阅读量427 收藏
点赞数
分类专栏: Kube-OVN源码解析 文章标签: 安全 kubernetes 云原生 容器 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/KubeOVN/article/details/126250217
版权
Kube-OVN 1.8版本引入了安全组功能,为Pod提供类似OpenStack Neutron的安全组管理。本文详细解析了Pod的端口安全和安全组的实现,涉及SecurityGroup CRD资源、OVS的port_group及ACL策略。通过处理Pod的annotation,将安全组与Pod关联,并通过ovn-nbctl命令管理安全组规则。安全组的更新与状态同步确保了网络安全策略的准确性。
摘要由CSDN通过智能技术生成

作者介绍:Kube-OVN社区贡献者 Mr.Li  

作者说:kube-ovn在1.8版本上引入了安全组,为了pod容器提供了类似openstack平台上neutron项目的安全组功能。个人猜测引入这个功能的开发者应该是使用容器平台的Pod来管理虚拟机(如kubevirt),自然就会同步对比openstack平台从而想要引入对应安全组功能。目前kube-ovn的pod和openstack平台的neutron port一样具备了2种安全能力,一种是port端口安全,一种就是安全组。port端口安全用来控制pod内部往外访问时源IP和源Mac的合法性。安全组则是可以更精细化的控制不管是流入pod、流出pod的所有流量。

pod网卡的端口安全 

pod annotation "%s.kubernetes.io/port_security"用来指示对应网卡是否开启端口安全。pod网卡的端口安全是通过ovn的lsp-set-port-security接口实现的。简单说就是pod的每张网卡都会有对应的ovn port,分配了mac和ip。通过对ovn port设置lsp-set-port-security来实现端口安全。

最低0.47元/天 解锁文章
Kube-OVN社区
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Kube-OVN源码解析 | pod IP地址管理
KubeOVN的博客
08-09 586
当然kube-ovn-controller不仅仅是为pod分配IP而已,也会为pod网卡创建对应的ovn port、路由等信息,我们在后续的代码走读中也会看到。
Kube-OVN源码解析 | kube-ovn-controller
KubeOVN的博客
08-09 294
kube-ovn-controller是kube-ovn项目主要资源的CRD控制器,主要功能包含vlan、provider、vpc、subnet等CRD资源的处理,也包括pod的IP分配、ovn port创建删除等操作。
kube-ovn代码系列(四)pod 安全功能
zaojing5058的博客
02-20 611
kube-ovn代码系列(四)pod 安全功能 链接 https://www.gogo-dev.com/index.php/2022/02/19/kube-ovn-securitygroup/ 内容 kube-ovn在1.8版本上引入了安全,为了pod容器提供了类似openstack平台上neutron项目的安全功能。个人猜测引入这个功能的开发者应该是使用容器平台的Pod来管理虚拟机(如kubevirt),自然就会同步对比openstack平台从而想要引入对应安全功能。 目前kube-ovnpod
OpenStack与Kubernetes:云计算平台的两大巨头及其差异
最新发布
异构算力老群群(在读985计算机博士生)的技术博客
05-28 1427
OpenStack是一个用于构建和管理云计算平台的开源软件。它提供了一套丰富的件,包括计算服务Nova、网络服务Neutron和块存储服务Cinder等,使得用户可以灵活地构建自己的云计算环境。OpenStack的灵活性、多租户支持以及强大的安全性,使其成为构建私有云、公有云和混合云的理想选择。
kubernetes/k8s概念】kube-ovn-controller 源码分析之二
zhonglinzhang
08-10 7769
kube-ovn-controller 逻辑职责是翻译 kubernetes 网络概念到 OVN,可以理解为 kube-ovn 的控制面功能,通过 kube-apiserver watch 所有网络相关事件,包括 Pod creation/deletion, Service/Endpoint modification, Networkpolicy changes 等等。然后翻译转为 OVN 逻辑网络的修改。也 watch kube-ovn 添加的 CRD,比如 VPC Subnet Vlan IP ...
kubernetes/k8s概念】kube-ovn-controller 源码分析之三
zhonglinzhang
08-10 7709
本文分析 vlan 控制器的源码实现
kube-ovn项目详细介绍,物超所值
11-07
在控制平面上,Kube-OVN 通过对 OVN 上游流表的裁剪以及各种缓存技术的使用和调优,可以支持数千个节点和数万个 pod 的大规模集群。 简单的操作 Kube-OVN 提供了一键式安装脚本,帮助用户快速构建生产就绪的容器...
kube-ovn功能丰富且易于操作的企业级Kubernetes网络结构
02-02
Kube-OVN将基于OVN网络虚拟化与Kubernetes集成在一起。 它为企业提供了功能最多,操作最简单的高级容器网络结构。社区Kube-OVN社区正在等待您的参与! 在关注我们在与我们聊天其他问题请发送电子邮件至微信用户加...
Kube-OVN中国电信天翼云边缘场景实践.pdf
07-24
Kube-OVN中国电信天翼云边缘场景实践.pdf
k8s cni 网络kube-ovn脚本
09-25
kube-ovn1.4稳定版本一个能成功安装完成的脚本,release1.4分支上的脚本目前不能安装成功。
kube-flannel.yml
06-30
标题 "kube-flannel.yml" 指的是 Kubernetes 集群中的一个配置文件,用于部署 Flannel 网络插件。Flannel 是一个轻量级的网络解决方案,旨在为 Kubernetes 集群提供跨主机的网络通信。通过运行 `kubectl apply -f ...
linux-灵雀云KubeOVN基于OVN的开源Kubernetes网络实践
08-13
Kube-OVN integrates the OVN-based Network Virtualization with Kubernetes. It offers an advanced Container Network Fabric for Enterprises.
kube-ovn代码系列(五)vagrant统一编译和测试环境
zaojing5058的博客
02-20 492
kube-ovn代码系列(五)vagrant统一编译和测试环境 链接 https://www.gogo-dev.com/index.php/2022/02/20/kube-ovn-vagrant01/ 内容 面对很多不同的golang项目,我们很头疼的一件事情就是如何编译和测试对应的代码。我们往往需要知道编译需要依赖什么环境,测试运行又需要依赖什么环境,而这些都需要我们一一从项目源码或文档中去获取,对于入门者而言显得有点复杂。 在之前接触了cilium项目时,突然发现其项目中有个vagrant工具在为所有项
kubernetes/k8s概念】kube-ovn-controller 源码分析之一
zhonglinzhang
07-27 8281
kube-ovn-controller 逻辑职责是翻译 kubernetes 网络概念到 OVN,可以理解为 kube-ovn 的控制面功能,通过 kube-apiserver watch 所有网络相关事件,包括 Pod creation/deletion, Service/Endpoint modification, Networkpolicy changes 等等。然后翻译转为 OVN 逻辑网络的修改。也 watch kube-ovn 添加的 CRD,比如 VPC Subnet Vlan IP ...
kubernetes/k8s概念】kube-ovn cni daemon源码分析
zhonglinzhang
08-12 8101
本文分析 Kube-ovn cni,部分,详细分析 cni daemon,kubelet 调用 cni 二进制文件添加容器网络和删除容器网络kube-ovn cni 配置文件 /etc/cni/net.d/01-kube-ovn.conflist,cni 二进制通过 socket 与 cni daemon 通信,发送请求来配置和删除容器网络。 { "name":"kube-ovn", "cniVersion":"0.3.1", "plugins":[ ...
kube-ovn代码系列(一)kube-ovn-controller
zaojing5058的博客
02-20 309
kube-ovn代码系列(一)kube-ovn-controller 链接 https://www.gogo-dev.com/index.php/2021/10/06/kube-ovn-controller-01/ 内容 kube-ovn-controller是kube-ovn项目主要资源的CRD控制器,主要功能包含vlan、provider、vpc、subnet等CRD资源的处理,也包括pod的IP分配、ovn port创建删除等操作。 本文则主要介绍了kube-ovn-controller的初始化代码流
SDN控制器之OVN实验五:配置OVN网络安全功能(ACL)
筋斗云计算
07-19 2879
本文通过使用OVN访问控制列表(ACL)来实现基本的网络安全功能OVN访问控制列表和地址集介绍 OVN中的ACL规则存储于北向数据库的ACL表中,并且可以使用ovn-nbctl的acl命令进行配置。目前,ACL只能应用于逻辑交换机,但是未来将支持应用到逻辑路由器。 在出站和入站方向都支持使用ACL: 入站:从工作负载(t
OVN 简单网脚本
weixin_34268753的博客
06-30 132
网图: 网脚本: 1 # Create logical switch dmz 2 ovn-nbctl ls-add dmz 3 ovn-nbctl lsp-add dmz dmz-vm10 4 ovn-nbctl lsp-set-addresses dmz-vm10 "02:ac:10:ff:01:30 172.16.255.130" 5 ovn-nbctl ...
kube-OVN总体架构
任我行的博客
12-05 3020
本文档将介绍 Kube-OVN 的总体架构,和各个件的功能以及其之间的交互。总体来看,Kube-OVN 作为 KubernetesOVN 之间的一个桥梁,将成熟的 SDN 和云原生相结合。 这意味着 Kube-OVN 不仅通过 OVN 实现了 Kubernetes 下的网络规范,例如 CNI,Service 和 Networkpolicy,还将大量的 SDN 领域能力带入云原生,例如逻辑交换机,逻辑路由器,VPC,网关,QoS,ACL 和流量镜像。Kube-OVN件可以大致分为三类:该类型
Kube-OVN云原生网络的全能之选,极致性能与易用性兼备
Kube-OVN是一个由CNCF推动的沙箱项目,旨在将Software-Defined Networking (SDN) 技术与Cloud Native架构紧密结合,为容器网络提供功能强大、性能卓越且易于管理的解决方案。该项目的优势在于其丰富的功能集,包括:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值