Tungsten Fabric+K8s轻松上手丨通过Kubernetes网络策略进行应用程序微分段

最新推荐文章于 2023-08-07 23:45:00 发布
VIP文章 最新推荐文章于 2023-08-07 23:45:00 发布
阅读量813 收藏
点赞数 1
分类专栏: # Tungsten Fabric+K8s Tungsten Fabric中文社区
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/TungstenFabric/article/details/104281086
版权

在这里插入图片描述
点击下载文档,查看本文所有相关链接https://tungstenfabric.org.cn/assets/uploads/files/tf-ceg-case4.pdf

在大多数生产环境中,需要实施网络访问控制。Kubernetes提供了一种方法来描述Pod 组应该如何通过使用NetworkPolicy资源进行通信。
与Kubernetes中的大多数事情一样,要使网络策略正常运行,您需要一个支持它们的Kubernetes CNI插件。

使用场景

在几乎所有环境中,为应用程序需要通信的组件建立明确的规则,都是一个好主意。Kubernetes网络策略规范是一种直接的方法,可让您将NetworkPolicy直接与应用程序清单集成在一起。

NetworkPolicy定义资源的方式,使您可以精确地指定哪些网络通信是被允许的,而哪些则不允许,同时使用podSelector定义处理在Kubernetes上运行的应用程序的动态属性。

这意味着您的策略可以针对单个Pod或Pod组,从而将安全范围“缩小”到Pod的大小。

严格定义的网络策略与default-deny配置相结合,可以避免由于恶意应用程序入侵,和/或行为不当,或者配置错误而造成的麻烦。例如,一个应用程序组件可能具有滞留的缓存DNS条目或错误的配置参数,导致它与错误的后端进行通信。或者应用程序可能会被攻陷并被用作跳板,执行侦查,尝试横向渗透,或者只是使用Pod对Kubernetes API的访问权限来启动一些加密货币挖矿Pod,以窃取您的计算资源。

使用网络策略保护示例应用程序的安全

网络策略设计的主题比本指南中允许的空间要大得多。在此示例中,我们将执行以下操作:

  • 为我们的default命名空间创建一个default-deny
    Ingress策略。这意味着命名空间内的所有传入Pods的连接必须明确被允许;
  • 为每个示例应用程序组件创建一个Ingress NetworkPolicy对象,仅允许那些我们确定的对象。

步骤1:明确哪些组件应当可以相互通信

首先,我们需要提醒自己,应用程序的各个组件应该如何通信。为此,我们将回到在简介中看到的应用程序图:
在这里插入图片描述

从该图中可以看到:

  1. 外界需要到达yelb-ui的TCP端口80-(1)和(2)
  2. yelb-ui需要到达yelb-appserver的TCP端口4567
  3. yelb-appserver反过来将需要到达yelb-db的TCP端口5432,以及
  4. … yelb-cache的TCP端口6379。

步骤2:如何识别组件?

请记住,NetworkPolicy资源使用选择器来识别策略适用于哪个Pod,以及该策略将要控制的流量的源和目的地是什么。

在本演示中,我们将使用podSelectror方法,因此需要获取应用到应用程序Pod的标签列表。让我们查看cnawebapp-loadbalancer.yaml示例应用程序的清单,并收集标签:

最低0.47元/天 解锁文章
TungstenFabric
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
docs:Tungsten Fabric SDN的文档
02-05
该文档通过Read The Docs(RTD)网站提供。 TF使用Linux Foundation的实现将其发布到RTD,。 除了要运行以生成和整理文档的命令外,我还没有正式记录过使用要求。 通常,构建过程在后台使用sphinx-build命令。 ...
k8s部署fabric 2.4
cbmljs的博客
12-12 974
k8s部署fabric 2.4
Fabric8 管理k8s集群 Java API
lixinkuan的博客
08-07 967
上述代码中,我们使用DeploymentBuilder创建了一个Deployment对象,并使用createOrReplace方法将其创建或更新到集群中。一旦我们连接到了Kubernetes集群,我们可以使用io.fabric8.kubernetes-client来创建、更新和删除Kubernetes资源,例如部署、服务、Pod等。类似地,可以使用io.fabric8.kubernetes-client来创建和管理其他资源,例如Service、Pod、ConfigMap等。
K8S系列文章之 自动化运维利器 Fabric
Coder_Boy_的博客
08-06 717
Fabric 主要用在应用部署与系统管理等任务的自动化,简单轻量级,提供有丰富的 SSH 扩展接口。在 Fabric 1.x 版本中,它混杂了本地及远程两类功能;但自 Fabric 2.x 版本起,它分离出了独立的 Invoke 库,来处理本地的自动化任务,而 Fabric 则聚焦于远程与网络层面的任务。
K8s从零开始搭建Fabric网络
No_Game_No_Life_的博客
11-21 2553
K8s从零开始搭建Fabric网络过程总览 搭建过程应该是这样的: 系统初始化 主要工具:cryptogen命令和crypto-config.yaml文件 根据配置文件生成每个组织的Peer、Orderer等节点账号和组的初始用户账号 Orderer初始化 主要工具:configtxgen命令、configtx.yaml文件、orderer.yaml文件 生成Orderer创始块和配置文件,并启...
分析IBM官方k8s部署fabric的方案
longtails的博客
07-04 2660
分析IBM官方k8s部署fabric的方案分析 之前我们测试了IBM官方的k8s部署fabric的方案,比我们之间手动在k8s部署fabric要简洁与方便,所以,就想看看IBM究竟是怎么处理的。 我们之前,用k8s部署了fabric的各个组件,但是链码我们是直接运行在节点上的,并且是需要为每个节点的Docker配置k8s集群的DNS,所以还不能完全手动,也就是说这种部署方案,并没有将链码容器纳入到...
contil5_deployments:不同的部署方法
02-06
违规使用Con轨迹5+的不同部署方案*** 希望我能以某种方式帮助您。 如果您喜欢它,如果您在Github上单击“星号”,我将非常高兴: :
ApacheSpark作为编译器:深入介绍新的Tungsten执行引擎
02-26
《Spark2.0技术预览:更容易、更快速、更智能》文中简单地介绍了Spark2.0相关技术,本文将深入介绍新的Tungsten执行引擎。ApacheSpark已经非常快了,但是我们能不能让它再快10倍?这个问题使得我们从根本上重新思考...
Potential Sputtering of Highly Charged Ions on Copper and Tungsten Surfaces
12-29
高电荷态离子在Cu和W表面的势能溅射,王铁山,丁晶洁,本文研究了Arq+ (1≤q≤16) 与 Pbq+ (4≤q≤36) 轰击金属Cu和W表面所产生的溅射现象。实验结果显示了在金属表面的势能溅射存在阈值效应。�
K8S可视化管理平台KubeSphere
Richardlygo的博客
09-23 1086
什么是KubeSphere? KubeSphere 是一款开源项目,在目前主流容器调度平台 Kubernetes 之上构建的企业级分布式多租户容器管理平台,提供简单易用的操作界面以及向导式操作方式,在降低用户使用容器调度平台学习成本的同时,极大降低开发、测试、运维的日常工作的复杂度。 特点 易用 面向开发、测试、运维友好的 UI,向导式用户体验,通过 KubeSphere ...
超级账本 Fabric 区块链在K8S集群中的部署样例
06-21
超级账本 Fabric 区块链在kubernetes集群中的部署样例
k8s上一键部署生产级别的hyperledger fabric网络
07-09
k8s上一键部署生产级别的hyperledger fabric网络,支持LevelDB和CouchDB状态数据库,支持solo、kafka、etcdRaft排序模式、支持各组织下的blockchain-explorer区块链看板、支持一键生成connection profile配置文件等
IBM官方的Fabric on k8s部署方案
longtails的博客
05-11 4142
IBM官方的Fabric on k8s部署方案 IBM官方提供的fabrick8s上的部署方案,目前也只看到了solo,该方案可能也只是在测试用的,不同于其它通过nfs共享配置的方式,ibm通过k8s的pv/pvc存储实现共享配置。该方案,基本上上是纯k8s环境,无需其他修改便可直接使用,这点还是很方便的,比自己之前爬坑手动部署要可爱多了。但还有一点不确定,就是ibm是如何实例化代码的,实例化后...
K8s轻松部署Tungsten Fabric的两种方式
TungstenFabric的博客
10-15 624
K8s上部署TF有很多方式,来看下最简单快速的方法。
区块链100篇之将fabric部署在k8s
jalins的博客
05-27 1638
有了上一篇的基础,这一篇就尝试将fabric部署在k8s上,以下的操作的前提条件是自己已经对docker-compose部署fabric比较熟悉了,可以先搞清楚fabricase目录下的fabric_raft项目。 1.修改DNS 在真正开始部署之前,需要先解决一个问题,就是下面会使用到将unix:///var/run/docker.sock挂载进peer容器中,因为在1.4.X版本peer 容器需要调用 Docker 引擎的接口来构建和创建 chaincode 容器,但通过 docker.sock 创建的
Tungsten FabricK8s集成指南创建安全策略
TungstenFabric的博客
03-05 324
新建K8s及TF安全策略,以实现pod之间,pod与service之间的访问控制。
做什么网站赚钱?关于网站赚钱项目的剖析以及方向
菜鸟站长之家
11-26 623
建什么类型的网站,建个网站靠什么赚钱呢,很多人说正规网站不赚钱,这个事情,真的是一个非常古老的问题,那我在之前的文章中,也写到过一些网站赚钱相关的一些文章,你比如说简历代写,虚拟产品这种暴力的网赚项目。 其实能够说出这个问题的人,这个我相信,他在互联网呢里面呢,也摸爬滚打过,至少是这样,他清楚了一些网站行业的本质,包括目前这个行业的一个基本情况。 其实网赚圈子,什么人都有,至于你想学什么呢,这个需要你自己去甄别。你比如说很多卖这个培训的,他把课程已经给你了,至于你自己能消化多少,那就看你自己了, 所以
使用 K8S 部署 Fabric
lyover的博客
01-28 3275
Fabric K8S 部署 https://github.com/horan-geeker/fabric-on-k8s Fabric Helm 部署 https://github.com/horan-geeker/fabric-on-helm
如何使用 K8spacket 和 Grafana 对 K8s 的 TCP 数据包流量进行可视化
easylife206的专栏
08-18 632
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !前言如何知道 K8S 集群内 Pod 之间建立了哪些 TCP 连接?集群之间存在哪些调用关系?使用k8spacket和Grafana,你可以可视化集群中的 TCP 流量。了解工作负载如何相互通信,以及建立了多少连接,交换了多少字节,这些连接处于活动状态的时间。介绍k8spacket是用 Golang 编写的工具,...
tungsten replicator 架构
最新发布
02-07
Tungsten Replicator架构是一种用于数据复制和同步的开源工具。它是由一组组件组成,用于从一个数据库到另一个数据库的数据复制。 Tungsten Replicator的主要组件包括: 1. 提供数据变更的源数据库:源数据库可以...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值