好文推荐 | 是时候思考 K8s 出向流量安全了 (上)

原创 已于 2022-09-22 10:59:29 修改 · 429 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#kubernetes #云原生 #docker

于 2022-09-22 10:55:53 首次发布
随着Kubernetes在生产环境的广泛应用,微服务安全变得至关重要,尤其是出向流量的安全管控。本文探讨了为何需要对Kubernetes的Egress流量进行策略管控,面临的动态、粒度、协同和数据驱动等挑战,并分析了Kubernetes自带的Network Policy和OpenShift的Egress方案的优缺点。下篇将继续讨论其他业界方案。

作者:林静

职务:资深架构师

公司:F5

为何要进行 Egress 流量策略管控

2021 年 CNCF 调查显示,全球将 kubernetes 用在生产环境的用户占比已达 59.77%,欧洲用户更是达到了 68.98%。用户正越来越多的将生产业务迁移到 kubernetes 环境下。《Gartner 2021 Hype Cycle for Cloud Security》也显示了容器与 Kubernetes 安全已处在“slope of Enlightenment ”阶段。

这说明保护 kubernetes 里的应用服务正变的越来越重要。当我们去审视运行在 kubernetes 中的大量微服务时,我们可以看到微服务安全具有典型的微边界以及需要进行持续性安全工程的特点。

我们需要以每个微服务为边界进行保护,无论是其运行时,还是南北和东西流量。需要每个微服务单元在编码之初就开始着手安全考虑,进行安全左移,安全的防护设施、方法、策略应与开发者和 kubernetes 平台运维者适配。

还需要有能力洞察所有的流量事件,采集所有运行时日志、事件等数据,通过持续性的安全工程系统对这些数据进行分析,聚合出规则并反馈到安全的策略设定中。

kubernetes 里的微服务不会只在集群内部封闭运行,它需要访问集群外部应用、数据库、第三方 API 服务、互联网服务等。出向流量里可能包含

最低0.47元/天 解锁文章
Java容器化:K8s Ingress负载均衡——从商场入口到流量调度的秘密
AI天才研究院
04-18 394
随着Java应用从单体架构向微服务转型,容器化(Docker)和集群管理(Kubernetes)已成为企业级应用的标配。外部用户如何访问集群内的Java服务?直接暴露Pod地址不可靠(Pod会动态增减)。多实例Java应用如何均匀分担流量?避免某些实例“累瘫”,某些“闲置”。本将聚焦Kubernetes的Ingress组件,解决上述问题,覆盖Ingress的核心概念、配置方法、负载均衡策略,以及Java应用的实战案例。用“商场入口引导顾客”的故事类比Ingress的作用;
深入浅K8s - 详解K8s的网络模型
热门推荐
weixin_39552004的博客
08-16 1万+
微信公众号:云世 【云世】公众号关注每个想要提升硬实力和软实力上的人,持续不断发布以下话题的相关内容: Ø 云原生系列(容器DockerK8s,Service Mesh,DevOps,云原生落地实践等) Ø 微服务系列(服务划分,DDD实践,微服务架构,微服务落地实践等) Ø 职场软技能(认知提升,思考力模型,场景应对方法论) Ø 数据分析系列 (Python,可视化图形制作等) Ø 互联网产品系统化模型+方法论 Ø MBA考研资料免费放送 Ø 技术团队管理
F5好推荐 | 是时候思考 k8s 流量安全了(下)
f5networks的博客
09-29 1196
上周推的《是时候思考 k8s 流量安全(上)》介绍了为何要进行 Egress 流量策略管控、存在的挑战、业界方案分析的前两个方案,本将继续介绍 Egress 流量管控方案的剩余方案。
K8S之istio流量控制管理(十七)
赵玉的专栏
06-15 1986
上图中,流frontend服务的流量会被 frontend服务侧的 Envoy拦截,而当流量到达forecast容器时,Inbound流量forecast 服务侧的Envoy拦截。上图中, frontend 服务侧的 Envoy 从 Pilot 中获取流量治理规则,并根据该流量治理规则将不同特征的流量分发到forecast服务的v1或v2版本。超时是 Envoy 代理等待来自给定服务的答复的时间量,以确保服务不会因为等待答复而无限期的挂起,并在可预测的时间范围内调用成功或失败。
60、高级Kubernetes流量管理、多集群策略及更多
最新发布
vim8coder的博客
10-01 24
深入探讨了高级Kubernetes主题,涵盖集群安全加固最佳实践与系统化故障排除方法。内容包括API和Kubelet访问控制、运行时权限管理、网络隔离、etcd保护、审计日志配置,以及kubectl get、describe、logs、exec等核心调试工具的使用。章还介绍了临时容器的调试优势,并通过流程图和对比表格展示了安全与排错的协同关系,最后提建立监控、自动化运维和演练机制以持续保障集群健康运行。
K8s流量分析(生产实例)
xh_w20的专栏
09-26 502
k8s 外部进入容器的流量分析
Kubernetes Istio 流量管理
dahulihuli的博客
10-24 308
Istio 的流量路由规则可以让您很容易的控制服务之间的流量和 API 调用。Istio 简化了服务级别属性的配置,比如熔断器、超时和重试,并且能轻松的设置重要的任务,如 A/B 测试、金丝雀发布、基于流量百分比切分的概率发布等。它还提供了开箱即用的故障恢复特性,有助于增强应用的健壮性,从而更好地应对被依赖的服务或网络发生故障的情况kubernetes学习日志 Istio习题练习
kubernetes istio之流量管理
weixin_30918415的博客
08-11 314
1.部署 Bookinfo 应用 要在 Istio 中运行这一应用,无需对应用自身做任何改变。我们只要简单的在 Istio 环境中对服务进行配置和运行,具体一点说就是把 Envoy sidecar 注入到每个服务之中。这个过程所需的具体命令和配置方法由运行时环境决定,而部署结果较为一致,如下图所示: 所有的微服务都和 Envoy sidecar 集成在一起,被集成服务所有的流量都被 si...
K8s 多集群思考、实践和探索
clay's blog
07-01 1205
以上多集群项目主要功能为资源分发和调度,还有如多云基础设施管理 cluster-api,多集群检索 Clusterpedia,多集群 pod 互通 submariner,multicluster-ingress 解决多集群的 ingress,服务治理和流量调度 Service Mesh,如 istio、cilium 等网络组件实现的 multi cluster mesh 解决跨集群的 mesh 网络管理,以及结合存储相关项目实现跨集群存储管理和迁移等。因此实际的总副本数可能会和配置的总副本数不一致。
K8S学习笔记(分类整理以及一些思考
04-09
Kubernetes(K8s)生态系统中,学习和理解其核心组件和工作原理是至关重要的。本将深入探讨K8s的Master和Worker Node组件、Pod的概念、Service的多端口和外部访问问题,以及ReplicaSet和Deployment的使用场景与...
idou教你学Istio10 : 如何用Istio实现K8S Egress流量管理
华为云CCE云容器引擎
10-11 974
主要介绍在使用Istio时如何访问集群外服务,即对流量的管理。 默认安装的Istio是不能直接对集群外部服务进行访问的,如果需要将外部服务暴露给 Istio 集群中的客户端,目前有两种方案 配置ServiceEntry 配置global.proxy.includeIPRanges 配置serviceEntry访问外部服务 ServiceEntry用于将额外的条目添加到Istio内部维护...
Kubernetes对项目Pod流量访问控制
walk on the road of linux
04-08 584
将default命名空间携带run=web标签的Pod隔离,只允许default命名空间携带run=client1标签的Pod访问80端口 apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: test-network-policy namespace: default spec: podSelector: matchLabels: run: web policyTypes: -
Egress 控制在现代网络架构 技术总结
weixin_40426261的博客
06-12 1018
在计算机网络中,“Egress” 指的是从一个网络或设备发送去的数据流量。它与 “Ingress”(进入网络或设备的数据流量)相对。Egress 控制和管理在现代网络架构中至关重要,特别是在安全性、合规性和性能优化方面。以下是对 Egress 技术的详细总结和使用指南。在计算机网络中,“Egress” 指的是从一个网络或设备发送去的数据流量。它与 “Ingress”(进入网络或设备的数据流量)相对。Egress 控制和管理在现代网络架构中至关重要,特别是在安全性、合规性和性能优化方面。
[单master节点k8s部署]25.Istio流量管理(一)
weixin_45396500的博客
09-26 970
Istio用于介绍微服务架构下的流量管理。它在服务之间引入一个透明的代理层,负责对微服务的流量管理、安全性、弹性和监控等。Istio提供了良好的可观察性和平台无关性。Istio可以弥补k8s在服务治理上的缺点。负载均衡流量管控度量故障恢复灰度发布可观察性(observability):全链路追踪、监控、数据收集,通过控制后台全面了解上行下行流量
KubernetesK8s笔记(十一):Ingress 集群进流量总管
虚幻私塾
10-22 1196
目录*
k8s ingress and egress
qq_26464429的博客
02-24 5098
simple architecture of ingress in k8s: create ingress controller To create the ingress controller, use Helm to install nginx-ingress. For added redundancy, two replicas of the NGINX ingress controlle...
Kubernetes Egress 网络策略指南
weixin_44100171的博客
07-21 2891
作者:Viswajith Venugopal 翻译:Bach(才云) 校对:bot(才云)、星空下的仔(才云) Kubernetes 中的网络策略用于指定 Pod 组之间以及其与外部网络端点之间的通信,它就像是 Kubernetes 的防火墙。与大多数 Kubernetes 对象一样,网络策略非常灵活,功能也很强大。如果了解应用程序中服务的确切通信模式,我们就可以通过网络策略将通信限制在我们想要范围之内。 Ingress 与 Egress 网络策略可用于指定 Pod 的入口(Ingress).
k8s之滚动更新及pod流量分析
fourierr的博客
11-06 2518
Pod 被删除后,状态被 endpoint-controller 和 kubelet 订阅,并分别执行移除 Endpoint 和删除 Pod 操作,但是两个操作并非我们预期的先移除 Endpoint 后再删除 Pod,而是是同时进行的,因此有可能会现在 Pod 已经接收到了 SIGTERM 信号但仍然有流量进入的情况。
k8s探针如何设置,给详细的实践,根据不同的应用
08-01
<think>我们正在讨论Kubernetes中探针配置的最佳实践。用户希望了解如何根据不同的应用类型配置livenessProbe、readinessProbe和startupProbe。以下是我的思考: 用户可能正在部署多种类型的应用,比如Web服务、批处理任务、数据库等,每种应用的健康检查需求不同。我们需要提供针对性的配置策略。 首先,必须明确三种探针的核心区别: - livenessProbe:用于判断容器是否需要重启(失败则重启容器) - readinessProbe:用于判断容器是否可接收流量(失败则从Service端点移除) - startupProbe:用于保护启动慢的应用(在成功前暂停其他探针) 参考引用[4]和[5]特别强调了startupProbe的作用:对于启动慢的应用,它可以防止livenessProbe在启动过程中误杀容器。 接下来,我将按应用类型给配置方案: 1. Web服务类(如Spring Boot应用) - livenessProbe:使用HTTP GET检查/actuator/health/liveness - readinessProbe:检查/actuator/health/readiness(区分就绪状态) - startupProbe:与livenessProbe相同但放宽失败阈值 - 关键参数:initialDelaySeconds要留足应用启动时间 2. 批处理任务(如Spark Job) - 重点:通常不需要readinessProbe(不接收外部请求) - livenessProbe:使用exec执行进程检查脚本(如检查进度件) - startupProbe:设置超长failureThreshold覆盖整个任务周期 3. 数据库类(如MySQL) - 特殊需求:避免重启导致数据损坏 - livenessProbe:TCP检查3306端口(而非强制kill) - readinessProbe:exec执行mysqladmin ping(真实可用性检查) - 注意:避免使用HTTP探针(除非暴露管理端口) 4. 遗留系统(启动极慢) - 核心策略:利用startupProbe的failureThreshold - 示例:periodSeconds=10, failureThreshold=60(允许10分钟启动) - readinessProbe:启动后严格检查依赖组件 最后需要强调通用最佳实践: - 始终设置startupProbe保护启动期(引用[1][5]) - readinessProbe检查必须包含关键依赖(避免流量打到半就绪状态) - 生产环境必须定义资源请求和限制(requests/limits) 下面用具体配置示例说明:</think>### Kubernetes探针配置最佳实践 根据应用类型选择合适的探针配置策略,可显著提升应用稳定性和资源利用率。以下是基于应用特性的配置指南: --- #### 一、核心探针功能对比 | 探针类型 | 触发动作 | 默认状态 | 适用场景 | |----------|----------|----------|----------| | **`startupProbe`** | 阻塞其他探针直到成功 | Success | 启动缓慢的应用(如Java服务)[^1][^5] | | **`readinessProbe`** | 从Service端点移除Pod | Failure(初始延迟期间) | 流量控制(如数据库连接检查)[^4] | | **`livenessProbe`** | 重启容器 | Success | 进程僵死检测(如API无响应)[^3] | ```mermaid graph TD A[容器启动] --> B{startupProbe配置?} B -->|| C[startupProbe成功] B -->|| D[直接进入就绪状态] C --> E[livenessProbe生效] C --> F[readinessProbe生效] ``` --- #### 二、按应用类型配置策略 ##### 1. **Web服务类(Nginx/Tomcat)** ```yaml startupProbe: # 确保Nginx完全启动 httpGet: path: / port: 80 failureThreshold: 30 # 最长等待30*10=300秒 periodSeconds: 10 readinessProbe: # 检查工作线程是否就绪 httpGet: path: /health port: 8080 initialDelaySeconds: 5 periodSeconds: 5 livenessProbe: # 检测进程僵死 httpGet: path: /health port: 8080 timeoutSeconds: 3 # 快速失败 ``` > **关键点**: > - 静态资源服务可省略`readinessProbe` > - 动态服务需检查后端连接池[^3] --- ##### 2. **Java微服务(Spring Boot)** ```yaml startupProbe: # 避免GC导致误重启 httpGet: path: /actuator/health/startup port: 8080 failureThreshold: 20 # 允许JVM缓慢启动 periodSeconds: 15 readinessProbe: # 检查数据库/消息队列连接 httpGet: path: /actuator/health/readiness port: 8080 initialDelaySeconds: 40 # 等待依赖初始化 periodSeconds: 10 livenessProbe: # 内存泄漏兜底 httpGet: path: /actuator/health/liveness port: 8080 timeoutSeconds: 10 # > MaxGCPauseMillis*2 ``` > **经验值**: > - `initialDelaySeconds > JVM启动时间 + 依赖初始化时间` > - 使用`-XX:+ExitOnOutOfMemoryError`配合livenessProbe[^5] --- ##### 3. **批处理任务(Spark/Flink)** ```yaml startupProbe: # 等待资源分配 exec: command: ["test", "-f", "/tmp/init_complete"] periodSeconds: 10 failureThreshold: 60 # 允许10分钟初始化 livenessProbe: # 防止任务卡死 exec: command: ["bash", "-c", "ps aux | grep 'task_processor'"] periodSeconds: 120 # readinessProbe通常不需要(不接收外部流量) ``` > **特殊场景**: > 若需优雅终止,配置`preStopHook`保存状态[^4] --- ##### 4. **数据库类(MySQL/Redis)** ```yaml startupProbe: # 等待数据恢复 tcpSocket: port: 3306 failureThreshold: 60 periodSeconds: 10 readinessProbe: # 从库只读检查 exec: command: ["mysql", "-h127.0.0.1", "-e", "SHOW SLAVE STATUS"] periodSeconds: 5 livenessProbe: # 进程存活检查 tcpSocket: port: 3306 timeoutSeconds: 1 # 快速响应 ``` > **注意**: > - 避免在`readinessProbe`中执行重查询(如`SELECT COUNT(*)`) > - 从库配置`readOnly`检查[^2] --- #### 三、通用最佳实践 1. **启动顺序控制** ```yaml startupProbe: failureThreshold: (预期启动时间/periodSeconds)+2 ``` > 例:启动需120秒 → `periodSeconds: 5`, `failureThreshold: 26` 2. **探针分级策略** - Level 1(基础存活):`livenessProbe`仅检查进程响应 - Level 2(轻量就绪):`readinessProbe`检查本地依赖 - Level 3(深度就绪):独立接口检查外部依赖(如DB连接) 3. **安全防护** ```yaml livenessProbe: httpGet: path: /healthz port: 8080 httpHeaders: # 防止外部访问 - name: X-Probe-Secret value: "K8sInternal" ``` --- #### 四、故障排查工具 | 问题现象 | 诊断命令 | |----------|----------| | 频繁重启 | `kubectl describe pod | grep -A10 Events` | | 就绪异常 | `kubectl get endpoints <service>` | | 探针超时 | `kubectl logs <pod> -c istio-proxy`(Sidecar影响) | > **黄金法则**: > - 生产环境必须设置`startupProbe`保护启动期[^1][^5] > - `readinessProbe`失败次数应 > 下游服务重试次数 > - `livenessProbe`超时时间 > 最长GC停顿时间 × 2
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值