K8s网络策略学习

最新推荐文章于 2024-05-18 09:12:06 发布
最新推荐文章于 2024-05-18 09:12:06 发布
阅读量320 收藏 1
点赞数
分类专栏: kubernetes 文章标签: kubernetes 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jyan_/article/details/126303295
版权

K8s网络策略学习

简介

K8s集群网络中,所有pod的网络是互通的,使用网络策略(NetworkPolicy),可以对集群网络进行限制,控制pod间的通信。网络策略(NetworkPolicy)是一种关于 Pod 间及与其他网络端点间所允许的通信规则的规范,它的资源使用标签来选择Pod,并定义规则来允许访问命名空间中定义的特定Pod的流量。

NetworkPolicy规则

NetworkPolicy是namespace 范围的,它只能影响某个namespace下的pod的网络出入站规则,并且需要有一个支持网络策略的 Kubernetes 集群(支持 NetworkPolicy 的网络:Calico、Romana、Weave 网络)
网络策略是通过yaml文件创建,例如:

apiVersion: extensions/v1beta1
kind: NetworkPolicy
metadata:
  name: network-policy-test
  namespace: spacew2lw3rh6
spec:
  egress:
  - to:
    - ipBlock:
        cidr: 10.0.0.0/24
    ports:
    - protocol: TCP
      port: 9898
  ingress:
  - from:
    - podSelector:
        matchLabels:
          app: aa1
    ports:
    - port: 8080
      protocol: TCP
  - from:
    - ipBlock:
        cidr: 10.241.0.0/16
        except:
        - 10.241.1.0/16
    - namespaceSelector:
        matchLabels:
          project: space9ajlk02v
    ports:
    - port: 8080
      protocol: TCP
  podSelector:
    matchLabels:
      app: aa2
  policyTypes:
  - Ingress
  - Egress

上述网络策略的起到的作用:将命名空间spacew2lw3rh6下label 含有app:aa2的pod隔离起来,只有满足networkpolicy中ingress和egress规则的pod才可以与他们进行通信。
ingress规则的作用:
1、命名空间spacew2lw3rh6下label 含有app:aa1的pod,都可以与隔离中pod的8080端口建立tcp连接。
2、所有label含有project: space9ajlk02v的命名空间中,属于10.241.0.0/16网段的IP,除了10.241.1.0/16网段中的IP,都可以与隔离中pod的8080端口建立tcp连接。
egress规则的作用:允许隔离中的pod访问网段为10.0.0.0/24的目的IP的9898端口

PodSelector
Pod选择器,基于标签选择与NetworkPolicy处于同一namespace下的pod,如果pod被选中,则对其应用NetworkPolicy中定义的规则。此为可选字段,当没有此字段时,表示选中所有Pod。
PolicyTypes
NetworkPolicy定义的规则可以分成两种,一种是入Pod的Ingress规则,一种是出Pod的Egress规则。本字段可以看作是一个开关,如果其中包含Ingress,则Ingress部分定义的规则生效,如果是Egress则Egress部分定义的规则生效,如果都包含则全部生效。当然此字段也可选,如果没有指定的话,则默认Ingress生效,如果Egress部分有定义的话,Egress才生效。|
ingress与egress
ingress与egress可以包含多条规则。当包含多条时,条目之间的逻辑关系是“或”,只要匹配其中一条就可以。ingress每个规则都允许匹配 from 和 ports 部分的流量。egress每个规则都允许与 to 和 ports 部分匹配的流量。

默认策略

1)默认禁止所有入pod流量

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: default-deny
spec:
  podSelector: {}
  policyTypes:
  - Ingress

2)默认允许所有入pod流量

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-all
spec:
  podSelector: {}
  ingress:
  - {}

3)默认禁止所有出pod流量

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: default-deny
spec:
  podSelector: {}
  policyTypes:
  - Egress

4)默认允许所有出pod流量

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-all
spec:
  podSelector: {}
  egress:
  - {}
  policyTypes:
  - Egress

5)默认禁止所有出入pod流量

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: default-deny
spec:
  podSelector: {}
  policyTypes:
  - Ingress
  - Egress
jyan_
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
k8s fannel网络插件
02-20
k8s fannel网络插件
k8s NetworkPolicy
longtails的博客
12-31 1341
k8s NetworkPolicy networkpolicy对象主要关注三个地方 第一个是绑定用的label; 第二个ingress; 第三个egress; 此外,就是一些默认策略,比如禁止所有,允许所有 networkpolicy [root@cce-demo1522483688765-00274 ~]# cat nwp.yaml apiVersion: networkin...
K8S系列之NetworkPolicy
TK_XIEBIN的博客
05-11 507
IP 地址或端口层面(OSI 第 3 层或第 4 层)控制网络流量, 则你可以考虑为集群中特定应用使用 Kubernetes 网络策略(NetworkPolicy)。NetworkPolicy 是一种以应用为中心的结构,允许你设置如何允许Pod与网络上的各类网络“实体” (我们这里使用实体以避免过度使用诸如“端点”和“服务”这类常用术语, 这些术语在 Kubernetes 中有特定含义)通信。NetworkPolicy 适用于一端或两端与 Pod 的连接,与其他连接无关。
一起来学k8s 19.NetworkPolicy
隔壁小翔
07-14 883
NetworkPolicy Kubernetes提供了NetworkPolicy,支持按Namespace级别的网络隔离,flannel 是没有网络策略的,calico有网络策略,建议安装calico,或者canal(就是flannel+calico,flannel作为网络划分,calico作为网络策略)。 环境 192.168.48.101 master01 192.168.48.201 nod...
k8s 网络策略
qq_39124041的博客
02-13 549
支持基于calico的网络策略 apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: test-network-policy namespace: default spec: podSelector: matchLabels: #该参数为空则保护当前命名空间下所有pod role: db policyTypes: - Ingress #其它客户端进入流量 - Egress
【课件】K8S NetworkPolicy网络策略详解
学亮编程手记
04-10 246
必需字段:与所有其他的 Kubernetes 配置一样,NetworkPolicy 需要 apiVersion、 kind 和 metadata 字段。关于配置文件操作的一般信息, 请参考配置 Pod 以使用 ConfigMap 和对象管理。在 from 数组中仅包含一个元素,只允许来自标有 role=client 的 Pod 且该 Pod 所在的名字空间中标有 user=alice 的连接。
k8s学习资料
10-31
k8s学习资料,仅供内部使用
k8s学习之路-入门级
04-05
本人自学k8s的理解,和吸取业界大佬的思想体会,整理出k8s初学之路材料供参考
k8s网络插件calico启动yaml文件
06-10
k8s网络插件calico启动yaml文件
K8s外部网络访问之Ingress附件
10-25
K8s外部网络访问之Ingress附件
K8S NetworkPolicy网络策略介绍与实战
Vic的博客
06-08 1931
默认情况下,Kubernetes 集群网络没任何网络限制,Pod 可以与任何其他 Pod 通信,在某些场景下就需要进行网络控制,减少网络攻击面,提高安全性,这就会用到网络策略
idou教你学Istio10 : 如何用Istio实现K8S Egress流量管理
华为云CCE云容器引擎
10-11 881
本文主要介绍在使用Istio时如何访问集群外服务,即对出口流量的管理。 默认安装的Istio是不能直接对集群外部服务进行访问的,如果需要将外部服务暴露给 Istio 集群中的客户端,目前有两种方案 配置ServiceEntry 配置global.proxy.includeIPRanges 配置serviceEntry访问外部服务 ServiceEntry用于将额外的条目添加到Istio内部维护...
k8s ingress and egress
qq_26464429的博客
02-24 4889
simple architecture of ingress in k8s: create ingress controller To create the ingress controller, use Helm to install nginx-ingress. For added redundancy, two replicas of the NGINX ingress controlle...
idou老师教你学Istio: 如何用Istio实现K8S Egress流量管理
weixin_30444105的博客
11-22 123
本文主要介绍在使用Istio时如何访问集群外服务,即对出口流量的管理。 默认安装的Istio是不能直接对集群外部服务进行访问的,如果需要将外部服务暴露给 Istio 集群中的客户端,目前有两种方案: 1. 配置ServiceEntry 2. 配置global.proxy.includeIPRanges 配置serviceEntry访问外部服务 ServiceEntry用于将额外的条目添加...
KubernetesK8s笔记(十一):Ingress 集群进出流量总管
虚幻私塾
10-22 1028
目录*
K8s (5) 网络
SpanningWings的博客
04-21 347
以下内容出自Rancher的meetup, available on Youtube link Thanks to Rancher. Rancher是一家提供基于open source的Container服务商。Rancher会管理各种云上的(aws,google,azure)和本地的K8s。可以把它认为是在K8s之上的一层软件。 这个Video是介绍K8s网络的,以下是我的笔记。 基础的linu...
Kubernetes Egress 网络策略指南
weixin_44100171的博客
07-21 2509
作者:Viswajith Venugopal 翻译:Bach(才云) 校对:bot(才云)、星空下的文仔(才云) Kubernetes 中的网络策略用于指定 Pod 组之间以及其与外部网络端点之间的通信,它就像是 Kubernetes 的防火墙。与大多数 Kubernetes 对象一样,网络策略非常灵活,功能也很强大。如果了解应用程序中服务的确切通信模式,我们就可以通过网络策略将通信限制在我们想要范围之内。 Ingress 与 Egress 网络策略可用于指定 Pod 的入口(Ingress).
k8s相关常用语句
QQ563627436的博客
05-11 647
查连的是哪个数据库:kubectl logs -f --tail=500000 phoenix-trade-a1e3d-9c4f897c7-xb26g -n sit-jd20230721zh | grep dbId=看实时日志: kubectl logs -f --tail=500000 ${pod的名称} -n ${命名空间}(pod的名称就像这样的:cif-sit-gp20230519go-6bf7bd4c99-948pc)
记录一次失败的本地K8S集群安装记录
最新发布
常备不懈
05-18 804
在Ubuntu上从头开始搭建KubernetesK8s)集群需要进行几个步骤,包括安装必要的软件、配置集群节点、初始化主节点和添加工作节点。
K8S和docker学习路径
05-24
学习K8S和Docker的路径可以如下: 1. 先了解Docker的基本概念和使用方法,可以从官方文档开始学习。 2. 学习Docker的网络、存储、镜像等高级特性。 3. 掌握Docker Compose,可以使用它来管理多个容器的运行。 4. 学习K8S的基础概念,包括Pod、Service、Deployment等。 5. 学习K8S的高级特性,如StatefulSet、DaemonSet、Job等。 6. 学习如何使用K8S来管理应用程序的生命周期,包括部署、升级、回滚等。 7. 学习K8S的安全机制和策略,包括RBAC、Pod Security Policies等。 8. 学习K8S的监控和调试方法。 9. 学习K8S的扩展和定制方法,包括自定义资源、控制器等。 10. 实践练习,可以使用Minikube或Kubeadm搭建本地环境进行实验。 总的来说,学习K8S和Docker需要持续的学习和实践,因为它们涉及到很多的知识点和技能。建议多看官方文档和实践经验分享,同时也可以参加相关的培训课程和线上社区。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值