Kubernetes学习之NetworkPolicy

最新推荐文章于 2024-05-10 19:00:38 发布
最新推荐文章于 2024-05-10 19:00:38 发布
阅读量857 收藏 25
点赞数 23
文章标签: kubernetes 学习 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Steven19920104/article/details/135233284
版权

应用场景

在IP地址或端口级别控制流量

限制pod可以与其他哪些pod通信,来确保pod之间的网络安全

控制粒度

  • 是否允许其他pod(例外:自身pod不能组织自身的访问)
  • 是否允许其他命令空间
  • IP块

可使用选择器:Labels and Selectors | Kubernetes

先决条件

k8s使用的网络插件必须支持NetworkPolicy

隔离类型

要允许从源 pod 到目标 pod 的连接,源 pod 上的出口策略和目标 pod 上的入口策略都需要允许连接。如果任何一方不允许连接,则不会发生。

出口隔离

默认情况下,Pod的出口是非隔离的,允许所有出站连接。

policyTypes:
- Egress

入口隔离

policyTypes:
- Ingress

样例

样例一

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: test-network-policy
  namespace: default
spec:
  # 使用标签来选择networkpolicy作用的pod
  # 空的标签选择器匹配命名空间中的所有pod
  podSelector:
    matchLabels:
      role: db
  # 若未指定,默认是ingress    
  policyTypes:
    - Ingress
    - Egress
  ingress:
    - from:
        # ip块选择
        - ipBlock:
            cidr: 172.17.0.0/16
            except:
              - 172.17.1.0/24
        # 命名空间选择
        - namespaceSelector:
            matchLabels:
              project: myproject
        # pod标签选择      
        - podSelector:
            matchLabels:
              role: frontend
      ports:
        - protocol: TCP
          port: 6379
  egress:
    - to:
        - ipBlock:
            cidr: 10.0.0.0/24
      ports:
        - protocol: TCP
          port: 5978

含义是:

  1. 在“默认”命名空间中为入口和出口流量隔离“role=db”pod(如果它们尚未隔离)
  2. (入口规则)允许连接到 TCP 端口 6379 上带有标签“role=db”的“默认”命名空间中的所有 Pod:
    • “默认”命名空间中带有标签“role=frontend”的任何 pod
    • 命名空间中带有“project=myproject”标签的任何 pod
    • IP 地址在 172.17.0.0–172.17.0.255 和 172.17.2.0–172.17.255.255 范围内(即除 172.17.1.0/24 之外的所有 172.17.0.0/16)
  1. (出口规则)允许从“default”命名空间中带有标签“role=db”的任何 pod 连接到 TCP 端口 5978 上的 CIDR 10.0.0.0/24

样例二

默认拒绝所有入口流量

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: default-deny-ingress
spec:
  podSelector: {}
  policyTypes:
  - Ingress

这确保即使没有被任何其他 NetworkPolicy 选择的 pod 仍将被隔离以进行入口。此策略不影响任何 pod 的出口隔离。

允许所有入口流量

---
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-all-ingress
spec:
  podSelector: {}
  ingress:
  - {}
  policyTypes:
  - Ingress

有了这个策略,任何额外的策略都不会导致到这些 pod 的任何传入连接被拒绝。此策略对任何 pod 的出口隔离没有影响。


默认拒绝所有出口流量

---
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: default-deny-egress
spec:
  podSelector: {}
  policyTypes:
  - Egress

这确保了即使没有被任何其他 NetworkPolicy 选择的 Pod 也不会被允许出口流量。该策略不会改变任何 pod 的入口隔离行为。

允许所有出口流量

---
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-all-egress
spec:
  podSelector: {}
  egress:
  - {}
  policyTypes:
  - Egress

有了这个策略,任何额外的策略都不会导致来自这些 pod 的任何传出连接被拒绝。此策略对进入任何 pod 的隔离没有影响。

默认拒绝所有入口和所有出口流量

---
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: default-deny-all
spec:
  podSelector: {}
  policyTypes:
  - Ingress
  - Egress

这确保了即使没有被任何其他 NetworkPolicy 选择的 Pod 也不会被允许进入或流出流量。

样例三(针对于 Kubernetes v1.22 [beta])

针对一系列端口而不是单个端口

前提

您的集群必须使用CNI支持endPortNetworkPolicy 规范中的字段的插件。如果您的网络插件 不支持该endPort字段并且您使用该字段指定了 NetworkPolicy,则该策略将仅应用于单个port字段。

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: multi-port-egress
  namespace: default
spec:
  podSelector:
    matchLabels:
      role: db
  policyTypes:
  - Egress
  egress:
  - to:
    - ipBlock:
        cidr: 10.0.0.0/24
    ports:
    - protocol: TCP
      port: 32000
      endPort: 32768

上述规则允许role=db命名空间上带有标签的任何 Pod 通过 TCPdefault与范围内的任何 IP 进行通信10.0.0.0/24,前提是目标端口在范围 32000 和 32768 之间。

使用此字段时适用以下限制:

  • 作为 Beta 功能,默认情况下启用此功能。要在集群级别禁用该字段,您(或您的 集群endPort管理员)需要 NetworkPolicyEndPort 使用--feature-gates=NetworkPolicyEndPort=false,….
  • 该endPort字段必须等于或大于该port字段。
  • endPortport如果也定义了,则只能定义。
  • 两个端口都必须是数字。
和尚洗发爱飘柔
关注
  • 23
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
examples:Kubernetes NetworkPolicy示例
04-01
总之,`examples:Kubernetes NetworkPolicy 示例` 提供了一个学习和实践 Kubernetes 网络策略的好资源。通过分析和应用这些示例,用户能够更好地理解如何使用 NetworkPolicy 来增强集群的安全性和合规性。在实际环境...
K8S NetworkPolicy网络策略介绍与实战
Vic的博客
06-08 1990
默认情况下,Kubernetes 集群网络没任何网络限制,Pod 可以与任何其他 Pod 通信,在某些场景下就需要进行网络控制,减少网络攻击面,提高安全性,这就会用到网络策略。
k8s学习-网络策略NetworkPolicy(概念、模版、创建、删除等)
关注网络安全、云原生安全
09-11 2641
3.(Egress 规则)允许 “default” 命名空间中任何带有标签 “role=db” 的 Pod 到 CIDR 10.0.0.0/24 下 5978 TCP 端口的连接。k8s的命名空间是没有强制隔离性的,访问service时加上.namespace的名称即可。:此选择器将选择特定的名字空间,应将所有 Pod 用作其入站流量来源或出站流量目的地。k8s的Pod是没有隔离行的,任意命名空间下的Pod可以访问任意命名空间下的Pod。的 to/from 条目选择特定名字空间中的特定 Pod。
Kubernetes(k8s)的Network Policies解析
最新发布
专注于数据库技术分享,包含但不限于Oracle,MySQL,PostgreSQL,ElasticSearch及国产数据库等
05-10 586
Kubernetes(k8s)的是一种资源对象,用于定义Pod之间的网络通信规则,以此来控制和隔离集群内部的网络流量。这为Kubernetes集群提供了更细粒度的网络安全控制能力。
k8s network policy配置,看这篇就够了
weixin_36086263的博客
06-10 6316
这是一篇关于k8s的网络策略配置说明 用户在使用k8s中,有对网络策略的配置需求,有时候希望不同的namespace之间不能互相访问,但是我们知道k8s中所有的pod之间都是可以互相访问的,这个时候就需要网络策略来帮助我们实现这个诉求,网络策略依赖于cni网络插件,不是所有的网络插件都支持网络策略,calico支持网络策略,而flannel不支持。 接下来我以一张图来说明k8s的networkpolicy资源的配置 整个图总接下来如下: 入口规则: 仅允许 1.来自(from)命名空间(spec
十九. Kubernetes NetworkPolicy 网络隔离策略
qq_29799655的博客
05-25 632
【代码】十九. Kubernetes NetworkPolicy 网络隔离策略。
k8s 之NetworkPolicy介绍使用
魏志标的博客
03-21 1389
k8s之networkpolicy 应用
K8S(kubernetes)学习指南
03-19
Network Policy用于定义Pod之间的网络通信规则,增强集群的安全性。 **13. Service Mesh** 虽然不是Kubernetes自带的特性,但Service Mesh(如Istio)可以与K8s集成,提供更细粒度的服务间通信管理和监控。 这份...
kubernetes-network-simulator
04-02
3. **网络策略(Network Policy)**:Kubernetes Network Policy允许我们定义Pod间的网络访问规则,实现细粒度的网络隔离。模拟器将展示如何配置和应用网络策略,以及它们对Pod通信的影响。 4. **CNI插件**:模拟器...
kubernetes学习
02-21
- **Network Policy**:控制Pod间的网络通信,实现安全隔离。 - **Ingress**:提供对外访问服务的路由规则,支持HTTP/HTTPS等协议。 6. **扩展性和容错性**: - **水平自动扩缩容(Horizontal Pod Autoscaler, ...
Networking and Kubernetes
03-21
Kubernetes(简称K8s)作为目前最流行的容器编排平台之一,在云原生领域占据着举足轻重的地位。随着Kubernetes的广泛应用,如何高效地部署、管理和解决生产环境中遇到的网络问题成为了一项重要的挑战。《Networking ...
K8S学习指南(29)-k8s网络对象NetworkPolicy
俞兆鹏的博客
12-20 3429
NetworkPolicyKubernetes中用于定义Pod之间网络通信规则的资源对象。通过NetworkPolicy,开发者可以控制哪些Pod可以与另外哪些Pod通信,以及使用何种方式进行通信。这种细粒度的网络控制有助于提高集群的安全性,防止未经授权的访问和通信。
kubernetes networkpolicy网络策略详解
热门推荐
爱死亡机器人
09-05 1万+
1. 简介 网络策略(NetworkPolicy)是一种关于 Pod 间及与其他网络端点间所允许的通信规则的规范。 NetworkPolicy 资源使用 标签 选择 Pod,并定义选定 Pod 所允许的通信规则。 2. 语法 apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: test-network-policy namespace: default spec: podSelector: matchL
kubernetes网络之网络策略-Network Policies
linus.lin的博客
07-29 811
Kubernetes 中,Network Policy(网络策略)定义了一组 Pod 是否允许相互通信,或者与网络中的其他端点 endpoint 通信。
Kubernetes 网络策略(NetworkPolicy
背着小书包一路追寻梦想
07-21 314
当一个 Pod 的入口被隔离时,唯一允许进入该 Pod 的连接是来自该 Pod 节点的连接和适用于入口的 Pod 的某个 NetworkPolicy 的。当一个 Pod 的出口被隔离时, 唯一允许的来自 Pod 的连接是适用于出口的 Pod 的某个 NetworkPolicy 的。如果策略适用于 Pod 某一特定方向的流量, Pod 在对应方向所允许的连接是适用的网络策略所允许的集合。要允许从源 Pod 到目的 Pod 的连接,源 Pod 的出口策略和目的 Pod 的入口策略都需要允许连接。
【云原生】k8s 中的 hostNetworkNetworkPolicy(网络策略)讲解与实战操作
匠人精神,持之以恒!
11-19 4819
在k8s中,若pod使用主机网络,也就是。则该pod会使用主机的dns以及所有网络配置,默认情况下是无法使用k8s自带的dns解析服务,但是可以修改DNS策略或者修改主机上的域名解析(),使主机可以用k8s自身的dns服务。一般通过DNS策略(Default: 继承Pod所在宿主机的DNS设置,hostNetwork的默认策略。ClusterFirst(默认DNS策略):优先使用kubernetes环境的dns服务,将无法解析的域名转发到从宿主机继承的dns服务器。
关于 KubernetesNetworkPolicy(网络策略)方面的一些笔记
山河已无恙
01-09 2374
混吃等死,小富即安,飞黄腾达,是因为各有各的缘法,未必有高下之分。--—烽火戏诸侯《剑来》
kubernetes网络之网络策略-----Network Policies - Default
linus.lin的博客
08-02 545
默认情况下,如果名称空间中没有配置 NetworkPolicy,则该名称空间中,所有Pod的所有入方向流量和所有出方向流量都是被允许的。那么如果我们想改变名称空间中默认的网络策略,又该怎么做呢?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值