Kubernetes Pod 流量又超负载了,NetworkPolicy 助你轻松搞定它!

最新推荐文章于 2024-03-30 23:57:58 发布
最新推荐文章于 2024-03-30 23:57:58 发布
阅读量276 收藏
点赞数
文章标签: kubernetes 容器 云原生
原文链接:https://mp.weixin.qq.com/s?__biz=MzI3MTI2NzkxMA==&mid=2247529145&idx=1&sn=1670447a24493344e0757e4ae2fd1a5e&chksm=eac65390ddb1da86dc4a529ae015fabf0cc3ecf7920d7dd0716e4d29a8f22c89b245615f9d61&scene=126&sessionid=0
版权

公众号关注 「奇妙的 Linux 世界」

设为「星标」,每天带你玩转 Linux !

fb7b2d3a275984824a830dcea9d51dc4.jpeg

如果你希望在 IP 地址或端口层面(OSI 第 3 层或第 4 层)控制网络流量, 则你可以考虑为集群中特定应用使用 Kubernetes 网络策略(NetworkPolicy)。NetworkPolicy 是一种以应用为中心的结构,允许你设置如何允许 Pod 与网络上的各类网络“实体” (我们这里使用实体以避免过度使用诸如“端点”和“服务”这类常用术语, 这些术语在 Kubernetes 中有特定含义)通信。 NetworkPolicy 适用于一端或两端与 Pod 的连接,与其他连接无关。

Pod 可以通信的 Pod 是通过如下三个标识符的组合来辩识的:

  1. 1. 其他被允许的 Pods(例外:Pod 无法阻塞对自身的访问)

  2. 2. 被允许的名字空间

  3. 3. IP 组块(例外:与 Pod 运行所在的节点的通信总是被允许的, 无论 Pod 或节点的 IP 地址)

在定义基于 Pod 或名字空间的 NetworkPolicy 时, 你会使用选择算符来设定哪些流量可以进入或离开与该算符匹配的 Pod。另外,当创建基于 IP 的 NetworkPolicy 时,我们基于 IP 组块(CIDR 范围)来定义策略。

a7f9381aac4e8314aa3b79e4eb0b179b.png
Kubernetes:网络策略

NetworkPolicy 是一个 Kubernetes 对象,它允许使用 IP 地址、端口、协议和标签等各种因素创建策略来限制命名空间中 pod 与外部实体之间的通信。

ingress部分定义流入流量规则,而该egress部分定义流出流量规则。NetworkPolicy 根据podSelector标签选择 Pod、使用namespaceSelector在特定命名空间中选择Pod,以及指定ipBlock设置允许或拒绝访问 Pod 的IP 地址块。

入口和出口流量

cf0631a557e3bb7f5198480b0aaca6c1.png
Ingress and Egress Traffic

入口流量是指定向到Kubernetes 集群中的一个 Pod 或一组 Pod 的传入网络流量。例如,如果集群外部的用户向集群内的 Pod 发送请求,则该流量将被视为该 Pod 的入口流量。

另一方面,出口流量是指Kubernetes 集群中一个或一组 pod 的传出网络流量。例如,如果集群中的 Pod 向集群外部的服务或外部端点发送请求,则该流量将被视为来自该 Pod 的出口流量。

网络策略

默认情况下,Kubernetes集群允许pod之间和外部访问不受限制的通信,这可能会带来安全风险,特别是在多个应用程序和团队共存的多租户环境中。

NetworkPolicy是一个Kubernetes 对象,允许你创建策略来定义 Pod 如何相互通信以及如何与特定命名空间内的外部实体通信。NetworkPolicy 规则可以基于 IP 地址、端口、协议和标签等各种因素,使你能够根据安全要求将流量限制到特定 Pod 或 Pod 组。

简称:netpol

$ kubectl api-resources 
NAME SHORTNAMES APIVERSION NAMESPACED KIND 
networkpolicies   netpolnetworking.k8s.io/v1        true NetworkPolicy

网络策略示例

pod选择器

podSelector字段根据标签选择 Pod,并确定策略适用于哪些 Pod。

b6a120cf89f7e9d3bde27c1dd848c7b5.png
pod选择器 

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: backend-network-policy
spec:
  podSelector:
    matchLabels:
      name: backend
  policyTypes:    
    - Ingress    
    - Egress
  ingress:
    - from:
        - podSelector:
            matchLabels:
            name: frontend
      ports:
        - port: 8080
          protocol: TCP
  egress:
    - to:
        - podSelector:
            matchLabels:
            name: database
      ports:
        - port: 5432
          protocol: TCP

在这种情况下,此 NetworkPolicy 的目标是标签为name: backend的 pod 。

ingress部分表示允许--来自8080端口且带有标签为name: frontend的pod的传入流量规则。

egress部分表示允许--到达5432端口且带有标签为name: database的pod的传出流量规则。

命名空间选择器

namespaceSelector是一个允许你选择特定名称空间并将网络策略规则应用于这些名称空间内的所有 pod 的字段。

6b180f1dbdae97be51b7d8c64bd35973.png
命名空间选择器 
...
ingress:
  - from:
      - namespaceSelector:
          matchLabels:
          name: namespace1
    ports:
      - port: 8080
        protocol: TCP
...

在这种情况下,它允许来自 带有namespace1标签的命名空间中 pod 的流量。

ip块

ipBlock选择器将选择特定的 IP CIDR 范围以用作入站流量来源或出站流量目的地。这些应该是集群外部 IP,因为 Pod IP 存在时间短暂的且随机产生。

9d9876e835a7ebb95f4fe0fbbd934e19.png
ipBlock 
...
ingress:
  - from:
      - ipBlock:
          cidr: 192.168.0.0/16
    ports:
      - port: 8080
        protocol: TCP
...

在本例中,该ipBlock字段指定CIDR块为192.168.0.0/16。这表示,仅当源 IP 地址位于此 CIDR 块内时, 才允许连接到 default 名字空间下的带有 name=backend 标签的所有 Pod 的 8080 TCP 端口 。

综合示例

下面是一个 NetworkPolicy 的综合示例:

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: test-network-policy
  namespace: default
spec:
  podSelector:
    matchLabels:
      role: db
  policyTypes:
    - Ingress
    - Egress
  ingress:
    - from:
        - ipBlock:
            cidr: 172.17.0.0/16
            except:
              - 172.17.1.0/24
        - namespaceSelector:
            matchLabels:
              project: myproject
        - podSelector:
            matchLabels:
              role: frontend
      ports:
        - protocol: TCP
          port: 6379
  egress:
    - to:
        - ipBlock:
            cidr: 10.0.0.0/24
      ports:
        - protocol: TCP
          port: 5978

除非选择支持网络策略的网络解决方案,否则将上述示例发送到API服务器没有任何效果。

spec:NetworkPolicy 规约 中包含了在一个名字空间中定义特定网络策略所需的所有信息。

podSelector:每个 NetworkPolicy 都包括一个 podSelector, 它对该策略所适用的一组 Pod 进行选择。示例中的策略选择带有 "role=db" 标签的 Pod。空的 podSelector 选择名字空间下的所有 Pod。

policyTypes:每个 NetworkPolicy 都包含一个 policyTypes 列表,其中包含 Ingress 或 Egress 或两者兼具。policyTypes 字段表示给定的策略是应用于进入所选 Pod 的入站流量还是来自所选 Pod 的出站流量,或两者兼有。 如果 NetworkPolicy 未指定 policyTypes 则默认情况下始终设置 Ingress 如果 NetworkPolicy 有任何出口规则的话则设置 Egress

ingress:每个 NetworkPolicy 可包含一个 ingress 规则的白名单列表。每个规则都允许同时匹配 from 和 ports 部分的流量。示例策略中包含一条简单的规则:它匹配某个特定端口,来自三个来源中的一个,第一个通过 ipBlock 指定,第二个通过 namespaceSelector 指定,第三个通过 podSelector 指定。

egress:每个 NetworkPolicy 可包含一个 egress 规则的白名单列表。每个规则都允许匹配 to 和 port 部分的流量。该示例策略包含一条规则, 该规则将指定端口上的流量匹配到 10.0.0.0/24 中的任何目的地。

所以,该网络策略示例的具体作用有:

  1. 1. 隔离 default 名字空间下 role=db 的 Pod (如果它们不是已经被隔离的话)。

  2. 2. (Ingress 规则)允许以下 Pod 连接到 default 名字空间下的带有 role=db 标签的所有 Pod 的 6379 TCP 端口:

  • • default 名字空间下带有 role=frontend 标签的所有 Pod

  • • 带有 project=myproject 标签的所有名字空间中的 Pod

  • • IP 地址范围为 172.17.0.0–172.17.0.255 和 172.17.2.0–172.17.255.255 (即,除了 172.17.1.0/24 之外的所有 172.17.0.0/16)

3. (Egress 规则)允许 default 名字空间中任何带有标签 role=db 的 Pod 到 CIDR 10.0.0.0/24 下 5978 TCP 端口的连接。

本文转载自:「云原生百宝箱」,原文:https://url.hi-linux.com/sJ7ct,版权归原作者所有。欢迎投稿,投稿邮箱: editor@hi-linux.com。

4e6782c9d6e593b5441f7352dfb7de49.gif

最近,我们建立了一个技术交流微信群。目前群里已加入了不少行业内的大神,有兴趣的同学可以加入和我们一起交流技术,在 「奇妙的 Linux 世界」 公众号直接回复 「加群」 邀请你入群。

3d49f06712232b075f78209203db1672.png

你可能还喜欢

点击下方图片即可阅读

69e9bd83868bf6864ae2837ffb8c8896.jpeg

容器网络里的那些坑:记一次持续三个月的 Kubernetes DNS 排障过程

d7e927c3b2542c0a53bc2261f6b8a393.png
点击上方图片,『美团|饿了么』外卖红包天天免费领

4d50159d769e332476a991b3e648ded9.png

更多有趣的互联网新鲜事,关注「奇妙的互联网」视频号全了解!

运维之美
关注
部署Kubernetes Pod?教你五招!
01-07
虽然部署和运行一个容器镜像(作为一个通用pod)是很有诱惑力的,但是你应该根据工作负载特性选择正确的控制器类型。Kubernetes有一个称为controller的原语,它与工作负载的关键特性相一致。Deployment、
kubelet CPU 使用率过高问题排查
zing的博客
11-29 5887
kubelet CPU 使用率过高问题排查 问题背景 客户的k8s集群环境,发现所有的worker节点的kubelet进程的CPU使用率长时间占用过高,通过pidstat可以看到CPU使用率高达100%。针对此问题对kubelet进程的异常进行问题排查。 集群环境 软件 版本 kubernetes v1.18.8 docker 18.09.9 rancher v2.4.8-ent CentOS 7.6 kernel 4.4.227-1.el7.elrepo.x86_64
OpenShift 4 - 通过NetworkPolicy配置Pod访问策略(附视频)
多恩斯基的博客
12-14 1443
部署测试应用 创建2个项目,然后每个项目中部署两个应用用来进行测试。 $ oc new-project project1 $ oc new-project project2 $ oc new-app -n project1 openshiftroadshow/parksmap --name=project1-app1 $ oc new-app -n project1 openshiftroadsh...
每天5分钟玩转Kubernetes | Network Policy
COCO_gsta的博客
06-24 348
书籍来源:cloudman《每天5分钟玩转Kubernetes》一边学习一边整理老师的课程内容及试验笔记,并与大家分享,侵权即删,谢谢支持!附上汇总贴:每天5分钟玩转Kubernetes | 汇总_COCOgsta的博客-CSDN博客Network PolicyKubernetes的一种资源。Network Policy通过Label选择Pod,并指定其他Pod或外界如何与这些Pod通信。默认情况下,所有Pod是非隔离的,即任何来源的网络流量都能够访问Pod,没有任何限制。当为Pod定义了Network
kubernetes networkpolicy网络策略详解
热门推荐
爱死亡机器人
09-05 1万+
1. 简介 网络策略(NetworkPolicy)是一种关于 Pod 间及与其他网络端点间所允许的通信规则的规范。 NetworkPolicy 资源使用 标签 选择 Pod,并定义选定 Pod 所允许的通信规则。 2. 语法 apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: test-network-policy namespace: default spec: podSelector: matchL
Kubernetes NetworkPolicy 网络策略浅析
最新发布
DwanCloud
03-30 839
Kubernetes 中,NetworkPolicy 是一种用于控制 Pod 之间网络通信的资源对象。它允许用户定义一组规则,规定哪些 Pod 可以相互通信,从而实现网络隔离和安全性。NetworkPolicy 基于标签选择器来识别应用策略的 Pod,并使用入站(Ingress)和出站(Egress)规则来控制流量,提供Pod级别和 Namespace级别网络访问控制基于标签选择器:通过标签选择器来选择应用策略的 Pod。入站和出站规则:定义允许的入站和出站流量规则。
examples:Kubernetes NetworkPolicy示例
04-01
KubernetesNetworkPolicy API 资源允许管理员定义允许哪些流量流入和流出特定 Pod。默认情况下,Pods 相互之间是完全开放的,但是通过 NetworkPolicy,我们可以创建规则来限制这种通信,实现微隔离。 **2. ...
kubernetes Pod 异常排查步骤
01-23
kubernetes Pod 异常排查步骤 在 Kubernetes 中,Pod 是最基本的执行单元,但是在实际操作中,Pod 可能会出现各种问题和异常。因此,了解如何排查和解决 Pod 异常问题非常重要。 Pod 是否处于 PENDING 状态? 在 ...
Kubernetes pod 生命周期1
08-04
Kubernetes中,Pod是应用的基本运行单元,它包含了在一个逻辑组内运行的一个或多个容器Pod生命周期管理涉及了从创建到销毁的整个过程,并且Kubernetes提供了多种机制来确保Pod及其内部容器的健康状态。这里我们...
npviz:Kubernetes NetworkPolicy可视化工具
05-16
它解析所有可用的工作负载和名称空间标签及其NetworkPolicy定义,以获取此数据。 特征: 借d3js演示+堆栈上的一些随机对象,可以通过拖动和缩放显示资源连接图 单击链接后显示连接详细信息 单击工作负载标签或...
kubernetes集群中 硬盘空间使用率过高pod不调度的解决方案
老段工作室
10-21 1639
kubernetes集群中 硬盘空间使用率过高pod不调度的解决方案
云原生|kubernetes|networkPolicy网络策略详解
zsk_john的技术分享专用博客
12-31 1205
由以上实验我们可以得出一个结论: 1,namespace是networkPolicy的作用域 2,from表示方向,因此,上面的例子,标签是打在了nginx1,然后登陆的nginx1,那么,如果标签打到了nginx2上,就需要使用nginx2访问nginx1了。
关于 KubernetesNetworkPolicy(网络策略)方面的一些笔记
山河已无恙
01-09 2393
混吃等死,小富即安,飞黄腾达,是因为各有各的缘法,未必有高下之分。--—烽火戏诸侯《剑来》
Kubernetes之网络策略(Network Policy)
yuan_jiaoyoung的博客
10-26 449
Kubernetes之网络策略(Network Policy)
Kubernetes NetworkPolicy 工作原理浅析
HULK一线技术杂谈
03-08 2310
女主宣言Kubernetes能够把集群中不同Node节点上的Pod连接起来,并且默认情况下,每个Pod之间是可以相互访问的。但在某些场景中,不同的Pod不应该互通,这个时候就需要进行访问控制。那么如何实现呢?本文最先发布于 opsdev,转载已获取作者授权。 PS:丰富的一线技术、多元化的表现形式,尽在“HULK一线技术杂谈”,点关注哦!简介Kubernetes提供了NetworkPolicy的F
kubelet的cpu过高问题排查
Welcome my blog
07-11 2574
问题现象 kubernetes集群收到一条,kubelet的cpu使用率较高的告警,过会就恢复了。然后又告警,这样的情况反反复复发生。 已知信息 kubebernetes 1.17.2 kubelet 1.17.2 cpu使用率过高的情况并非持续的,这里可以初步怀疑,cpu的过高可能是被某个函数定时触发。 问题排查 先来一波常规套路,登录上服务器,执行如下操作: ## 找到进程的pid ps -ef|grep kubelet ## 查看该进程的状态 top -p xxx ## 每隔1秒查看进程状态,
kubernetes network policy学习笔记
weixin_34406061的博客
01-03 400
简介 network policy顾名思义就是对pod进行网络策略控制。 k8s本身并不支持,因为k8s有许多种网络的实现方式,企业内部可以使用简单的flannel、weave、kube-router等,适合公有云的方案则有calico等。不同的网络实现原理(vethpair、bridge、macvlan等)并不能统一地支持network...
k8s资源之NetworkPolicy
mark's technic world
01-11 489
发布一个k8s部署视频:https://edu.csdn.net/course/detail/26967 课程内容:各种k8s部署方式。包括minikube部署,kubeadm部署,kubeasz部署,rancher部署,k3s部署。包括开发测试环境部署k8s,和生产环境部署k8s。 腾讯课堂连接地址https://ke.qq.com/course/478827?taid=4373109931...
k8s network policy配置,看这篇就够了
weixin_36086263的博客
06-10 6389
这是一篇关于k8s的网络策略配置说明 用户在使用k8s中,有对网络策略的配置需求,有时候希望不同的namespace之间不能互相访问,但是我们知道k8s中所有的pod之间都是可以互相访问的,这个时候就需要网络策略来帮我们实现这个诉求,网络策略依赖于cni网络插件,不是所有的网络插件都支持网络策略,calico支持网络策略,而flannel不支持。 接下来我以一张图来说明k8s的networkpolicy资源的配置 整个图总接下来如下: 入口规则: 仅允许 1.来自(from)命名空间(spec
"Kubernetes初体验:Pod详解与工作负载介绍
Service是Kubernetes中的服务发现和负载均衡的抽象,可以将多个Pod组合成一个服务,提供统一的访问入口。Deployment是用来定义Pod和副本控制器的对象,可以实现Pod的自动部署和扩缩容。 接着,文章详细介绍了Pod的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值