Cisco思科网络插件Contiv (四) 网络策略实践

最新推荐文章于 2024-08-23 09:50:48 发布
最新推荐文章于 2024-08-23 09:50:48 发布
阅读量1.8k 收藏
点赞数 1
分类专栏: 容器网络 文章标签: contiv
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chenmo187J3X1/article/details/82909354
版权

网络策略的作用

Contiv可以通过网络策略来限制容器之间的访问行为,以实现用户对安全性的方面的要求。比如,我可以限制容器仅对源IP在特定范围的其他容器开放特定的端口,而拒绝其他IP地址的容器的访问。

搭建过程

环境准备

参考Cisco思科网络插件Contiv (一) 环境部署搭建环境,由于本文并不关注Contiv网络的跨主机特性,因此只在一台宿主机上启动master进程和plugin进程就够了。

创建 contiv 网络
root@node-1:/home/yc/workspace# netctl --netmaster http://172.16.112.128:9999 network create --subnet=10.100.100.1/24 contiv-net
Creating network default:contiv-net

创建网络 contiv-net,指定子网范围是10.100.100.1/24

创建 Policy
root@node-1:/home/yc/workspace# netctl --netmaster http://172.16.112.128:9999  policy create web-policy
Creating policy default:web-policy

创建名为web-policyPolicyPolicy的名字在租户(tenant)的命名空间(namespace)是唯一的,这里没有指定tenant参数, 因此使用的是** default **租户

添加 rule

Policy创建后是空的,我们还需要为Policy添加规则(rule). 一个Policy可以包含多个rule,最终的行为也是这些rule的叠加。每条rule包含以下信息:

  • match criteria匹配规则,定义了rule的入口条件,满足匹配规则的报文将执行设定的行为action, 匹配条件包括protocolportip-address
    protocol可选参数为TCPUDPICMP
    port为需要允许或禁止的端口号
    ip-address为出方向流量的目的IP,或者入方向流量的源IP
  • direction 可选参数为inboundoutbound,分别代表入方向和出方向的规则
  • action 可选参数为allowdeny
  • priority指定该** rule 的优先级,默认是1**,数值越大的rule优先级越高
  • from-group 设置rule生效的EndPoint组的名字(入方向)
  • to-group 设置rule生效的EndPoint组的名字(出方向)
  • from-network 设置rule生效的network的名字(入方向)
  • to-network 设置rule生效的network的名字(出方向)

举例来说,我们要为我们的httpd容器设定以下行为:

  • 容器属于 groupA,开放tcp/80端口
  • 只允许属于 groupB 的容器访问tcp/80端口

首先创建 groupAgroupB

root@node-1:/home/yc/workspace# netctl --netmaster http://172.16.112.128:9999  group create contiv-net groupA -policy=web-policy
Creating EndpointGroup default:groupA
root@node-1:/home/yc/workspace# netctl --netmaster http://172.16.112.128:9999  group create contiv-net groupB -policy=web-policy
Creating EndpointGroup default:groupB

创建 rule 1, 设置deny所有对tcp/80端口的访问

root@node-1:/home/yc/workspace# netctl --netmaster http://172.16.112.128:9999  policy rule-add web-policy 1 -direction=in -protocol=tcp -port=80 -action=deny

创建 rule 2, 设置allow groupBtcp/80端口的访问

root@node-1:/home/yc/workspace# netctl --netmaster http://172.16.112.128:9999  policy rule-add web-policy 1 -direction=in -protocol=tcp -port=80 -action=deny

查看设置的rule

root@node-1:/home/yc/workspace# netctl --netmaster http://172.16.112.128:9999  policy rule-ls web-policy
Incoming Rules:
Rule  Priority  From EndpointGroup  From Network  From IpAddress  To IpAddress  Protocol  Port  Action
----  --------  ------------------  ------------  ---------       ------------  --------  ----  ------
1     1                                                                         tcp       80    deny
2     10        groupB                                                          tcp       80    allow
Outgoing Rules:
Rule  Priority  To EndpointGroup  To Network  To IpAddress  Protocol  Port  Action
----  --------  ----------------  ----------  ---------     --------  ----  ------
启动 httpd 容器
root@node-1:/home/yc/workspace# docker run -itd --net=groupA --name=http-server httpd
4af399efa8646001599a3345231c5c34026139c5e2fd9012e1cdeff4b9dde71b

启动名为http-server的容器,指定使用的网络为groupA,启动后通过docker network inspect命令可以看到容器分配的IP10.100.100.1

root@node-1:/home/yc/workspace# docker network inspect groupA
[
    {
        "Name": "groupA",
        "Id": "20bcf90e8be6bb9c0dd4a5bcfdfa1812a91aab9bef137f60747b3ccc8602227a",
        "Created": "2018-09-30T09:12:58.292952948-07:00",
        "Scope": "global",
        "Driver": "netplugin",
        "EnableIPv6": false,
        "IPAM": {
            "Driver": "netplugin",
            "Options": {
                "group": "groupA",
                "network": "contiv-net",
                "tenant": "default"
            },
            "Config": [
                {
                    "Subnet": "10.100.100.0/24"
                }
            ]
        },
  "Internal": false,
        "Attachable": true,
        "Ingress": false,
        "ConfigFrom": {
            "Network": ""
        },
        "ConfigOnly": false,
        "Containers": {
            "4af399efa8646001599a3345231c5c34026139c5e2fd9012e1cdeff4b9dde71b": {
                "Name": "http-server",
                "EndpointID": "935a57e40dc4d508cc254e6abe0b6b9ee5ae0a7dca7ec843c9dff146c8c5d859",
                "MacAddress": "02:02:0a:64:64:01",
                "IPv4Address": "10.100.100.1/24",
                "IPv6Address": ""
            }
        },
        "Options": {
            "encap": "vxlan",
            "pkt-tag": "2",
            "tenant": "default"
        },
        "Labels": {}
    }
]
启动 busybox 容器,访问httpd

启动两个busybox容器, 分别指定使用groupAgroupB网络, 尝试访问httpd容器的tcp/80端口

root@node-1:~# docker run -it --net=groupA --name=bbox-A busybox
/ # 
/ # wget http://10.100.100.1:80
Connecting to 10.100.100.1:80 (10.100.100.1:80)
wget: can't connect to remote host (10.100.100.1): Connection timed out
/ #  

root@node-1:~# docker run -it --net=groupB --name=bbox-B busybox
/ # 
/ # wget http://10.100.100.1:80
Connecting to 10.100.100.1:80 (10.100.100.1:80)
index.html           100% |***************************************************************************************************************************|    45  0:00:00 ETA
/ #

可见, bbox-B可以访问httpd容器的tcp/80端口, 而bbox-A不能, 即Policy生效

187J3X1
关注
专栏目录
思科(Cisco)公司GSN3网络模拟软件
09-15
GNS3是由思科(Cisco)公司推出的一款图形化网络模拟器,希望通过思科CCNA、CCNP、CCIE认证考试的人多喜欢用它来完成相关网络模拟实验。这款软件功能十分强大,拥有非常多的虚拟设备,如路由器、交换机、计算机等,...
Contiv网络组件解析
weixin_43241513的博客
06-26 1858
Contiv网络组件解析 Contiv思科的容器网络解决方案,编程语言为Go。它主要有两大组件组成:Netmaster和Netplugin。数据转发面采用Openvswitch。
苏宁容器云基于Kubernetes和Contiv网络架构技术实现
qq_24509229的博客
12-05 641
容器云的发展和落地,使得越来越多的无状态服务迁移到容器云,加快容器云的落地。容器云的发展,使得更大限度的利用计算资源,这相对传统虚拟化技术来说,就有了很多优势,例如支持高可用时无缝切换、负载均衡、服务发现、自动扩展、自动化运维。但是新的技术和架构,也随之带来新的问题,大多数服务迁移到容器云之后,因为要面对复杂的数据中心、混合的虚拟机技术并存等等。在传统网络架构、网络设备硬件限制下,例如,白名单要求IP地址能够始终不变、云计算行业规则下的网络限速。 在苏宁容器云架构中,针对自身业务特点以及数据中心架构,基于
推荐文章: 加速您的Kubernetes网络 —— Calico VPP 数据平面
最新发布
gitblog_00628的博客
08-23 328
推荐文章: 加速您的Kubernetes网络 —— Calico VPP 数据平面 vpp-dataplaneVPP dataplane implementation for Calico项目地址:https://gitcode.com/gh_mirrors/vp/vpp-dataplane 在当今日益增长的云原生环境中,高效、快速且可靠的网络解决方案成为关键。引入 Calico VPP 数据平...
思科路由器配置命令
叱诧冰子 ′
01-30 3491
<br />简写命令 完整命令 <br /><br />1 用户模式: 用户模式:<br />Router> Router><br /><br />2 特权模式: 特权模式:<br />Router>en Router>enable<br />Router# Router#<br /><br />3 全局配置模式 全局配置模式<br />Router#conf t Router#config terminal<br />Router(config)# Router(config)#<br /><br />4
Cisco思科网络插件Contiv (一) 安装
品学楼A107
09-21 3312
什么是Contiv Contiv (官网)是一个用于跨虚拟机、裸机、公有云或私有云的异构容器部署的开源容器网络架构。作为业界最强大的容器网络架构,Contiv具有2层、3层、overlay和ACI模式,能够与思科基础设施进行本地集成,并使用丰富的网络和安全策略将应用意图与基础设施功能进行映射。 Contiv是跨主机容器网络架构,因此,本文将两台虚拟机作为宿主机,在其上运行容器,验证其连通性。 网络...
Docker网络方案初探
happyAnger6的专栏
05-01 1500
随着容器的火热发展,数人云越来越多的客户对容器网络特性要求也开始越来越高,比如: 一容器一IP; 多主机容器互联; 网络隔离; ACL; 对接SDN等等。 这次主要跟大家聊聊Docker的网络方案,首先是现有容器网络方案介绍, 接下来重点讲解Calico的特性及技术点,作为引申和对比再介绍下Contiv的特性,最后给出对比测试结果。
思科模拟器配置网络拓扑图
06-10
某公司是一家全国性的网络设备生产和服务商,为了公司内部信息化建设,实现公司的信息化办公,公司希望采用先进的网络通信技术,建设一个以公司办公、电子商务、财务电算化、业务综合管理和客户服务关系管理系统为...
思科的NAT(网络地址转换)配置命令
01-04
思科nat配置命令
思科网络模拟器Cisco Packet Tracer 6.2.rar
01-06
思科网络模拟器Cisco Packet Tracer 6.2.rar
计算机网络思科综合性实验报告.doc
03-27
【计算机网络思科综合性实验报告】是一份详细记录了如何设置和配置网络设备以实现校园内外通信的实验报告。实验的主要目标是通过配置交换机、路由器等设备,使校园内部的计算机可以与外部网络进行通信,并在此过程中...
Cisco思科网络插件Contiv (三) Plugin 实现原理
品学楼A107
09-28 1607
Contiv网络结构 上图为Contiv网络模型,大体上可分为Master和Host Agent两个组件,其中Plugin运行在每台宿主机上, 主要负责1. 与Container Runtime交互实现插件逻辑. 2. 配置底层 open vswitch进程实现具体的网络功能. ...
Kubernetes 部署contiv-vpp
迷失的专栏
02-08 3463
简介 Contiv/VPP is a Kubernetes network plugin that uses FD.io VPP to provide network connectivity between PODs in a k8s cluster. It deploys itself as a set of system PODs in the kube-system namespace, ...
思科单臂路由配置(三)
weixin_46308934的博客
12-30 1844
拓扑图 此处是交换机配置部分,包括端口配置、vlan配置,详细观看之前的文章思科跨交换机vlan间通信配置(二) 路由器端配置子接口模式,配置逻辑接口的IP地址并封装802.1Q协议。 测试结果图 详细配置 //交换机配置部分 Switch>en Switch#conf t Switch(config)#vlan 10 Switch(config-vlan)#name caiwu Switch(config-vlan)#exit Switch(confi...
Cisco命令大全
每天都要开心呀(#^.^#)
11-15 1606
Cisco模拟器的种模式: en 用户模式 #conf t 特权模式 (config)#int f0/0 全局模式 (config-if)# 接口模式 1. List item (config)#hostname name 修改主机名 switch(config)#vlan vlan-number 划分VLAN switch(config-vl)#name vlan-name vlan命名 switch(config)#int range f0/1-5
Cisco交换机常用命令
心草重
10-25 5835
交换机口令设置: switch>enable    进入特权模式 switch#config terminal    进入全局配置模式 switch(config)#hostname     设置交换机的主机名 switch(config)#enable secret Cisco    设置特权加密口令 switch(config)#enable password Cisco    设置
思科bfd静态路由切换_Cisco路由静态路由配置试验步骤 实现不同网段之间的路由互相访问...
weixin_39970855的博客
12-22 480
大家看到大家看到上面这个简单的拓扑了吗?我们这次的实验目的就是让这三台路由之间都可以实现通信,也就是互相之间可以ping通。我们可以看到,当所有的Router都连接在一起的时候,其中同一网段内是可以实现互相访问的,但是我们如何才能够让不同网段之间的路由也可以互相访问呢?那就是静态路由配置,可能有的朋友会问怎么不用动态路由协议呢?是的,当设备过多时我们当然会考虑优先使用动态路由协议来配置了,因为那样...
K8S CNI及各CNI网络解决方案简述
不忘初心,方得始终
09-19 4188
CNi:什么是CNI?CNI是Container Network Interface的缩写,是一个标准的通用的接口。为了让用户在容器创建或销毁时都能够更容易地配置容器网络,现在容器平台:docker,kubernetes,mesos。 CNI如何实现?CNI用于连接容器管理系统和网络插件。提供一个容器所在的network namespace,将network interface插入该network......
docker 网络方案--分析
纵横四海的博客
06-20 3540
关于SDN和容器 作为近年来比较热的一个概念,众所周知SDN是Software Defined Network的缩写,即软件定义网络。但不同的人对SDN有不同的理解。在广义上,只要是你通过软件实现了一个东西,然后那个东西能够灵活地去达到网络上面的部署和伸缩,这就可以被认为是SDN。 围绕容器的开源的SDN解决方案 Docker自己的网络方案比较简单,就是每个宿主机上会跑一个非常纯
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值