书籍来源:《Kubernetes网络权威指南:基础、原理与实践》
一边学习一边整理读书笔记,并与大家分享,侵权即删,谢谢支持!
附上汇总贴:《Kubernetes网络权威指南》读书笔记 | 汇总_COCOgsta的博客-CSDN博客
默认情况下,Kubernetes底层网络是“全连通”的,即在同一集群内运行的所有Pod都可以自由通信。但是也支持用户根据实际需求以不同方式限制集群内Pod的连接。Kubernetes的解决方案是Network Policy,即网络策略。
网络策略就是基于Pod源IP的访问控制列表,限制的是Pod之间的访问。通过定义网络策略,用户可以根据标签、IP范围和端口号的任意组合限制Pod的入站/出站流量。
Kubernetes的网络策略采用了比较严格的单向流控制,即假如允许服务A访问服务B,反过来服务B并不一定能访问服务A。这与Docker内置的Network命令实现的隔离有很大不同。
3.8.1 网络策略应用举例
如果拒绝所有流量进入,例如图3-24所示的场景。
图3-24 拒绝所有流量进入的网络策略场景
那么Network Policy对象应该定义成:
如果限制部分流量进入,例如图3-25所示的场景。
图3-25 限制部分流量进入的网络策略场景
那么,Network Policy对象应该定义成:
如果只允许特定namespace的Pod流量进入,例如图3-26所示的场景。
图3-26 只允许特定namespace的Pod流量进入的网络策略场景
那么Network Policy对象应该定义成:
如果限制流量从指定端口进入,例如图3-27所示的场景。
图3-27 限制流量从指定端口进入的网络策略场景
那么,Network Policy对象应该定义成:
再举一个同时限定入站(Ingress)和出站(Egress)的例子:
该例子的效果如下:default namespace下Labels包含role=db的Pod,都会被隔绝,它们只能建立满足Network Policy的Ingress和Egress描述的连接。即:
(1)所有属于172.17.0.0/16网段的IP,除了172.17.1.0/24中的IP,其他的都可以与上述Pod的6379端口建立TCP连接。
(2)所有包含project=myproject Labels的namespace中的Pod可以与上述Pod的6379端口建立TCP连接。
(3)所有default namespace下的包含role=frontend Labels的Pod可以与上述Pod的6379端口建立TCP连接。
(4)允许上述Pod访问网段为10.0.0.0/24的目的IP的5978端口。
Kubernetes网络策略与一些安全组(例如Neutron的安全组)的区别。一般来说,安全组的规则记录在上层网关,而不是每一个节点上。而Network Policy agent一般通过Kubernetes DaemonSet实现每个节点上都有一个部署。
499
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
