TF+K8s部署指南丨利用TF防火墙策略实现K8s网络策略

最新推荐文章于 2024-04-18 22:13:29 发布
最新推荐文章于 2024-04-18 22:13:29 发布
阅读量749 收藏 1
点赞数
分类专栏: Tungsten Fabric中文社区 文章标签: sdn 开源 TF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/TungstenFabric/article/details/111410664
版权

从5.0版本开始(版本更迭时间和具体内容),Tungsten Fabric支持使用防火墙安全策略框架实现Kubernetes 1.9.2网络策略。虽然Kubernetes网络策略也可以使用TF中的其它安全对象(如安全组和TF网络策略)来实现,但TF防火墙安全策略对标签的支持,有助于简化和抽象Kubernetes的工作负载。

TF防火墙安全策略可以实现路由与安全策略的解耦,并提供多维度分段和策略可移植性,同时显著提升用户可见性和分析功能。

另外,TF防火墙安全策略使用标签来实现不同实体之间的多维度流量分段,并具有安全功能。标签是与部署中不同实体相关联的键值对。标签可以是预先定义的,也可以是自定义的。

Kubernetes网络策略是有关如何允许Kubernetes工作负载的组(以下简称为pod)与其它网络端点相互通信的规范。网络策略资源使用标签来选择pod,并定义规则,这些规则规定了允许哪些流量进入所选的pod。

Kubernetes网络策略特性

Kubernetes网络策略具有以下特性:

  • 网络策略是特定于pod的,适用于一个pod或一组pod。如果指定的网络策略适用于一个pod,则到pod的流量由网络策略的规则决定。
  • 如果网络策略没有应用到pod,那么pod就会接受来自所有来源的流量。
  • 网络策略可以在ingress、egress或两个方向上为pod定义流量规则。如果没有明确指定方向,默认情况下,网络策略应用于ingress方向。
  • 当网络策略应用于pod时,该策略必须有明确的规则来指定ingress和egress方向的允许流量的允许列表。所有不符合允许列表规则的流量都会被拒绝和丢弃。
  • 可以在任何pod上应用多个网络策略。必须允许符合任何一个网络策略的流量通过。
  • 网络策略作用于连接而不是单个数据包。例如,如果从pod A到pod B的流量被配置的策略所允许,那么从pod B到pod A的该连接的返回数据包也是被允许的,即使已制定的策略不允许从pod B发起到pod A的连接。
  • Ingress策略。Ingress规则由源的身份和允许转发到pod的源的流量的protocol:port类型组成。

源身份可以是以下类型:

  • 无类别域间路由(CIDR)块——如果源IP地址来自CIDR块,且流量符合protocol:port,那么流量将被转发到pod。

  • Kubernetes命名空间——命名空间选择器标识命名空间,其pod可以将定义的protocol:port流量发送到ingress pod。

  • Pod——Pod选择器标识网络策略所对应的命名空间中的pod,这些pod可以向ingress pod发送匹配的protocol:port流量。

  • Egress策略。该策略指定了一个CIDR允许列表,允许特定protocol:port类型的流量从网络策略所针对的pod出发。

目的身份可以是以下类型:

  • CIDR块——如果目标IP地址来自CIDR块,且流量符合protocol:port,那么流量将被转发到目的地址。
  • Kubernetes命名空间——命名空间选择器标识命名空间,其pod可以将定义的protocol:port流量发送到egress pod。
  • Pod——Pod选择器标识网络策略所对应的命名空间中的pod,这些pod可以从egress
    pod接收匹配的protocol:port流量。

将Kubernetes网络策略表示为TF防火墙安全策略

Kubernetes和Tungsten Fabric防火墙策略在各自指定网络策略的语义上是不同的。通过TF防火墙策略高效实现Kubernetes网络策略的关键在于,在这两个实体之间映射相应的配置结构。

这些结构的映射关系如表1所示。

表1:Kubernetes网络策略和TF防火墙策略映射表
图片

注意:创建Tungsten Fabric防火墙策略结构的项目是容纳Kubernetes集群的项目。例如,如果Kubernetes集群是独立集群,则在全局范围内创建TF防火墙策略结构,如果Kubernetes集群是嵌套集群,则在项目范围内创建TF防火墙策略结构。

解决Kubernetes网络策略标签问题

在TF防火墙策略中,pod的表示方式与相应的Kubernetes网络策略中的表示方式完全相同。TF防火墙策略处理的是Tungsten Fabric术语中的label或tag。TF不会将标签扩展到IP地址。

例如,在默认的命名空间中,如果网络policy-podSelector指定:role=db,那么对应的防火墙规则指定pod为(role=db && namespace=default)。不对pod IP地址或其它做翻译。

如果同一个网络策略也有namespaceSelector为namespace=myproject,那么对应的防火墙规则将该命名空间表示为(namespace=myproject)。不做其它翻译,也不做其它规则表示"myproject"命名空间的pod。

同样,每个CIDR由一个规则来代表。实质上,Kubernetes网络策略被1:1翻译成TF防火墙策略。只有一个额外的防火墙规则为每个Kubernetes网络策略创建。该规则的目的是实现网络策略的隐性拒绝要求,没有其它规则产生。

TF防火墙策略命名公约

Tungsten Fabric防火墙安全策略和规则命名如下:

  • 为Kubernetes网络策略创建的TF防火墙安全策略以如下格式命名:
< Namespace-name >-< Network Policy Name >
  • 例如,命名空间"Hello"中的网络策略"world":
Hello-
最低0.47元/天 解锁文章
TungstenFabric
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
kubernetes NetworkPolicy(防火墙
sxpnp的博客
01-09 894
如有问题,以你为准
通过防火墙策略解决k8s中ng端口漏洞
雅俗共赏的博客
10-12 3430
通过防火墙策略解决k8s部署的服务扫描出来的漏洞
k8s使用calico网络插件时,集群内节点防火墙策略配置方法
最新发布
weixin_44670774的博客
04-18 1204
我们在内网使用k8s时,有时候需要针对整个集群的节点设置防火墙,阻止一些外部访问,或者是仅允许白名单内的ip访问。本文给出了一种在网络插件是Calico时的解决方法
k8s+负载均衡+防火墙
m_j_y0_0的博客
05-27 3384
(2)要求在 Kubernetes 环境中,通过yaml文件的方式,创建2个Nginx Pod分别放置在两个不同的节点上,Pod使用hostPath类型的存储卷挂载,节点本地目录共享使用 /data,2个Pod副本测试页面二者要不同,以做区分,测试页面可自己定义。(5)iptables防火墙服务器,设置双网卡,并且配置SNAT和DNAT转换实现外网客户端可以通过12.0.0.1访问内网的Web服务。客户端修改网关地址,测试访问内网,刷新较慢需等待一会儿。内网ens33:192.168.247.150。
K8s生产环境下启用防火墙
梦想起飞的地方.........
03-05 2961
K8s生产环境下启用防火墙 当初在安装K8s集群时,为了安装方便关闭了所有机器的防火墙,但是如果是生产环境,非常不安全,因此有了这篇文章。文章总结了在开启防火墙状态下,需要开放哪些端口,以及需要注意的点。 准备 服务器操作系统:Ubuntu 16.04 防火墙命令:ufw 集群: 设置 开放etcd集群所需端口2379(客户端监听)和2380(节点间内部通信) ufw ...
K8S集群+负载均衡层+防火墙 实例
怎么也想不出名字的博客
03-03 1397
(1)Kubernetes 区域可采用 Kubeadm 方式进行安装。(2)要求在 Kubernetes 环境中,通过yaml文件的方式,创建2个Nginx Pod分别放置在两个不同的节点上,Pod使用hostPath类型的存储卷挂载,节点本地目录共享使用 /data,2个Pod副本测试页面二者要不同,以做区分,测试页面可自己定义。(3)编写service对应的yaml文件,使用NodePort类型和TCP 30000端口将Nginx服务发布出去。
TF-Azure-KIC-CIS:K8S KIC工作坊
03-21
K8S Nginx研讨会这是一个旨在了解k8以及如何安装和配置nginx ingress的研讨会。此部署使用terraform在azure中设置环境,但是您可以根据需要在另一个环境中创建集群。先决条件机器上所需的工具吉特蔚蓝Cli地貌需要...
k8s-helm-tf:通过头盔和terraform实现的留言簿
02-04
【标题】"k8s-helm-tf:通过头盔和terraform实现的留言簿" 描述了一种使用Kubernetesk8s)、Helm和Terraform来部署和管理留言簿应用的方法。这个项目可能是一个实战教程,展示了如何在云环境中高效地自动化基础...
tf_k8s
03-05
tf_k8s
tf-k8s-azure:使用Terraform在Azure上构建的K8
03-29
下载: curl -LO " https://dl.k8s.io/release/ $( curl -L -s https://dl.k8s.io/release/stable.txt ) /bin/linux/amd64/kubectl " 从最新版本为了使Terraform能够通过Azure进行身份验证,您需要在Azure帐户( )...
k8s-digitalocean-terraform:使用Terraform在DigitalOcean上部署最新的Kubernetes集群
02-04
在IT行业中,Kubernetes(简称K8s)已经成为容器编排领域的主流选择,而DigitalOcean作为云服务提供商,提供了一种高效且经济的基础设施。本文将深入探讨如何使用Terraform这一基础设施即代码(IAC)工具,在Digital...
TF+K8s轻松上手通过Kubernetes的服务进行基本应用程序连接
TungstenFabric的博客
01-08 648
如何创建应用程序的部署,确保Pods之间能相互通信,并进行Internet连接。
keystone系列四:keystone部署及操作
weixin_33939380的博客
01-10 249
一 前言 任何软件的部署都是没有技术含量的,任何就部署部署的人都是江湖骗子。 部署的本质就是拷贝,粘贴,回车。我们家养了条狗,它可以胜任这件事情。   我们搞技术的,一定不能迂腐:轻信或者一概不信。 轻信者的傻逼就像是只学了上半册的葵花宝典,上半册教你欲练此功必先自宫,而下半册说的则是不自宫其实也可以。 不信者的傻逼就像是马冬什么?马什么梅?什么冬梅? 二 版本信息 官网ht...
部署Kubernetes(k8s)时,为什么要关闭swap、selinux、firewall 防火墙
wangxuelei036的博客
11-16 5518
部署Kubernetes(k8s)时,为什么要关闭swap、selinux、firewall 防火墙
15.k8s集群防火墙配置
云上凯歌
10-30 762
15.k8s集群防火墙配置。
k8sk8s集群+nginx负载均衡+iptables防火墙转发策略(服务搭建)
持之以恒的锻炼,才能稳步向前
07-23 1123
k8s的基础知识合集测试
terrform idc部署k8s
09-13
要使用Terraform在IDC部署Kubernetes集群,可以按照以下步骤进行操作: 1. 首先,确保你已经安装了Terraform和Kubernetes,并且已经配置好了相关的环境变量。 2. 下载并解压缩阿里云的Terraform Provider。你可以...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值