Kubernetes 1.20.5实验记录--Network Policy

最新推荐文章于 2023-07-21 13:59:17 发布
最新推荐文章于 2023-07-21 13:59:17 发布
阅读量385 收藏
点赞数
分类专栏: Kubernetes 文章标签: kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mengshicheng1992/article/details/118021980
版权

Kubernetes 1.20.5实验记录–Network Policy

1、创建Deployment:

文件deploy.yaml

apiVersion: apps/v1
kind: Deployment
metadata:
  name: deploy
spec:
  replicas: 2
  selector:
    matchLabels:
      run: deploy
  template:
    metadata:
      labels:
        run: deploy
    spec:
      containers:
      - name: deploy
        image: nginx

kubectl apply -f deploy.yaml

在这里插入图片描述

2、查看Pod状态:

kubectl get pod -o wide

在这里插入图片描述

3、创建Service:

文件service.yaml

apiVersion: v1
kind: Service
metadata:
  name: service
spec:
  ports:
  - name: 8080-80
    port: 8080
    protocol: TCP
    targetPort: 80
    nodePort: 30303
  selector:
    run: deploy
  type: NodePort

kubectl apply -f service.yaml

在这里插入图片描述

4、查看Service状态:

kubectl get service

在这里插入图片描述

6.1 无策略

1、访问测试:

(1)访问集群内部:

kubectl exec -it deploy-7ffbfc5ff4-pjwlj -- sh
curl 10.97.10.66:8080 --connect-timeout 5

在这里插入图片描述

(2)访问集群外部:

kubectl exec -it deploy-7ffbfc5ff4-pjwlj -- sh
curl 192.168.0.100 --connect-timeout 5

在这里插入图片描述

(3)外部访问:

curl 192.168.0.10:30303 --connect-timeout 5

在这里插入图片描述

6.2 matchLabels策略

1、创建NetworkPolicy:

文件networkpolicy-matchlabel.yaml

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: networkpolicy-matchlabel
spec:
  podSelector:
    matchLabels:
      run: deploy
  ingress:
  - from:
    - podSelector:
        matchLabels:
          access: "true"
    ports:
    - protocol: TCP
      port: 80

kubectl apply -f networkpolicy-matchlabel.yaml

在这里插入图片描述

2、查看NetworkPolicy:

kubectl get networkpolicy

在这里插入图片描述

3、查看NetworkPolicy详细信息:

kubectl describe networkpolicy networkpolicy-matchlabel

在这里插入图片描述

4、访问测试:

(1)访问集群内部(无标签):

kubectl run client1 --image=cirros sleep 3600
kubectl exec client1 -it -- sh
curl 10.97.10.66:8080 --connect-timeout 5

在这里插入图片描述

无标签Pod无法访问

(2)访问集群内部(带标签):

kubectl run client2 --image=cirros --labels="access=true" sleep 3600
kubectl exec client2 -it -- sh
curl 10.97.10.66:8080 --connect-timeout 5

在这里插入图片描述

带标签Pod可以访问

(3)访问集群外部:

kubectl exec -it deploy-7ffbfc5ff4-pjwlj -- sh
curl 192.168.0.100 --connect-timeout 5

在这里插入图片描述

(4)外部访问:

curl 192.168.0.10:30303 --connect-timeout 5

在这里插入图片描述

5、删除NetworkPolicy:

kubectl delete -f networkpolicy-matchlabel.yaml

在这里插入图片描述

6.3 ipBlock策略

6.3.1 允许Pod所有出方向流量

1、创建NetworkPolicy:

文件networkpolicy-allow-all-egress.yaml

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: networkpolicy-allow-all-egress
spec:
  podSelector:
    matchLabels:
      run: deploy
  policyTypes:
  - Egress
  egress:
  - {}

kubectl apply -f networkpolicy-allow-all-egress.yaml

在这里插入图片描述

2、查看NetworkPolicy:

kubectl get networkpolicy

在这里插入图片描述

3、查看NetworkPolicy详细信息:

kubectl describe networkpolicy networkpolicy-allow-all-egress

在这里插入图片描述

4、访问测试:

(1)访问集群内部:

kubectl exec -it deploy-7ffbfc5ff4-pjwlj -- sh
curl 10.97.10.66:8080 --connect-timeout 5

在这里插入图片描述

(2)访问集群外部:

kubectl exec -it deploy-7ffbfc5ff4-pjwlj -- sh
curl 192.168.0.100 --connect-timeout 5

在这里插入图片描述

(3)外部访问:

curl 192.168.0.10:30303 --connect-timeout 5

在这里插入图片描述

5、删除NetworkPolicy:

kubectl delete -f networkpolicy-allow-all-egress.yaml

在这里插入图片描述

6.3.2 允许Pod所有入方向流量

1、创建NetworkPolicy:

文件networkpolicy-allow-all-ingress.yaml

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: networkpolicy-allow-all-ingress
spec:
  podSelector:
    matchLabels:
      run: deploy
  policyTypes:
  - Ingress
  ingress:
  - {}

kubectl apply -f networkpolicy-allow-all-ingress.yaml

在这里插入图片描述

2、查看NetworkPolicy:

kubectl get networkpolicy

在这里插入图片描述

3、查看NetworkPolicy详细信息:

kubectl describe networkpolicy networkpolicy-allow-all-ingress

在这里插入图片描述

4、访问测试:

(1)访问集群内部:

kubectl exec -it deploy-7ffbfc5ff4-pjwlj -- sh
curl 10.97.10.66:8080 --connect-timeout 5

在这里插入图片描述

(2)访问集群外部:

kubectl exec -it deploy-7ffbfc5ff4-pjwlj -- sh
curl 192.168.0.100 --connect-timeout 5

在这里插入图片描述

(3)外部访问:

curl 192.168.0.10:30303 --connect-timeout 5

在这里插入图片描述

5、删除NetworkPolicy:

kubectl delete -f networkpolicy-allow-all-ingress.yaml

在这里插入图片描述

6.3.3 拒绝Pod所有出方向流量

1、创建NetworkPolicy:

文件networkpolicy-deny-all-egress.yaml

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: networkpolicy-deny-all-egress
spec:
  podSelector:
    matchLabels:
      run: deploy
  policyTypes:
  - Egress

kubectl apply -f networkpolicy-deny-all-egress.yaml

在这里插入图片描述

2、查看NetworkPolicy:

kubectl get networkpolicy

在这里插入图片描述

3、查看NetworkPolicy详细信息:

kubectl describe networkpolicy networkpolicy-deny-all-egress

在这里插入图片描述

4、访问测试:

(1)访问集群内部:

kubectl exec -it deploy-7ffbfc5ff4-pjwlj -- sh
curl 10.97.10.66:8080 --connect-timeout 5

在这里插入图片描述

(2)访问集群外部:

kubectl exec -it deploy-7ffbfc5ff4-pjwlj -- sh
curl 192.168.0.100 --connect-timeout 5

在这里插入图片描述

(3)外部访问:

curl 192.168.0.10:30303 --connect-timeout 5

在这里插入图片描述

5、删除NetworkPolicy:

kubectl delete -f networkpolicy-deny-all-egress.yaml

在这里插入图片描述

6.3.4 拒绝Pod所有入方向流量

1、创建NetworkPolicy:

文件networkpolicy-deny-all-ingress.yaml

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: networkpolicy-deny-all-ingress
spec:
  podSelector:
    matchLabels:
      run: deploy
  policyTypes:
  - Ingress

kubectl apply -f networkpolicy-deny-all-ingress.yaml

在这里插入图片描述

2、查看NetworkPolicy:

kubectl get networkpolicy

在这里插入图片描述

3、查看NetworkPolicy详细信息:

kubectl describe networkpolicy networkpolicy-deny-all-ingress

在这里插入图片描述

4、访问测试:

(1)访问集群内部:

kubectl exec -it deploy-7ffbfc5ff4-pjwlj -- sh
curl 10.97.10.66:8080 --connect-timeout 5

在这里插入图片描述

(2)访问集群外部:

kubectl exec -it deploy-7ffbfc5ff4-pjwlj -- sh
curl 192.168.0.100 --connect-timeout 5

在这里插入图片描述

(3)外部访问:

curl 192.168.0.10:30303 --connect-timeout 5

在这里插入图片描述

5、删除NetworkPolicy:

kubectl delete -f networkpolicy-deny-all-ingress.yaml

在这里插入图片描述

6.3.5 拒绝Pod所有双方向流量

1、创建NetworkPolicy:

文件networkpolicy-deny-all-both.yaml

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: networkpolicy-deny-all-both
spec:
  podSelector:
    matchLabels:
      run: deploy
  policyTypes:
  - Ingress
  - Egress

kubectl apply -f networkpolicy-deny-all-both.yaml

在这里插入图片描述

2、查看NetworkPolicy:

kubectl get networkpolicy

在这里插入图片描述

3、查看NetworkPolicy详细信息:

kubectl describe networkpolicy networkpolicy-deny-all-both

在这里插入图片描述

4、访问测试:

(1)访问集群内部:

kubectl exec -it deploy-7ffbfc5ff4-pjwlj -- sh
curl 10.97.10.66:8080 --connect-timeout 5

在这里插入图片描述

(2)访问集群外部:

kubectl exec -it deploy-7ffbfc5ff4-pjwlj -- sh
curl 192.168.0.100 --connect-timeout 5

在这里插入图片描述

(3)外部访问:

curl 192.168.0.10:30303 --connect-timeout 5

在这里插入图片描述

5、删除NetworkPolicy:

kubectl delete -f networkpolicy-deny-all-both.yaml

在这里插入图片描述

6.3.6 允许Pod部分出方向流量

1、创建NetworkPolicy:

文件networkpolicy-allow-cidr-egress.yaml

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: networkpolicy-allow-cidr-egress
spec:
  podSelector:
    matchLabels:
      run: deploy
  policyTypes:
  - Egress
  egress:
  - to:
    - ipBlock:
        cidr: 192.168.0.100/32
    ports:
    - protocol: TCP
      port: 80

kubectl apply -f networkpolicy-allow-cidr-egress.yaml

在这里插入图片描述

2、查看NetworkPolicy:

kubectl get networkpolicy

在这里插入图片描述

3、查看NetworkPolicy详细信息:

kubectl describe networkpolicy networkpolicy-allow-cidr-egress

在这里插入图片描述

4、访问测试:

(1)访问集群内部:

kubectl exec -it deploy-7ffbfc5ff4-pjwlj -- sh
curl 10.97.10.66:8080 --connect-timeout 5

在这里插入图片描述

(2)访问集群外部:

kubectl exec -it deploy-7ffbfc5ff4-pjwlj -- sh
curl 192.168.0.100 --connect-timeout 5

在这里插入图片描述

(3)外部访问:

curl 192.168.0.10:30303 --connect-timeout 5

在这里插入图片描述

5、删除NetworkPolicy:

kubectl delete -f networkpolicy-allow-cidr-egress.yaml

在这里插入图片描述

6.3.7 允许Pod部分入方向流量

1、创建客户端:

kubectl run clientx --image=cirros sleep 3600
kubectl run clienty --image=cirros sleep 3600

在这里插入图片描述

2、查看客户端地址:

kubectl get pod -o wide

在这里插入图片描述

3、创建NetworkPolicy:

文件networkpolicy-allow-cidr-ingress.yaml

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: networkpolicy-allow-cidr-ingress
spec:
  podSelector:
    matchLabels:
      run: deploy
  policyTypes:
  - Ingress
  ingress:
  - from:
    - ipBlock:
        cidr: 10.244.189.120/32
    ports:
    - protocol: TCP
      port: 80

kubectl apply -f networkpolicy-allow-cidr-ingress.yaml

在这里插入图片描述

4、查看NetworkPolicy:

kubectl get networkpolicy

在这里插入图片描述

5、查看NetworkPolicy详细信息:

kubectl describe networkpolicy networkpolicy-allow-cidr-ingress

在这里插入图片描述

6、访问测试:

(1)访问集群内部:

kubectl exec clientx -it -- sh
curl 10.97.10.66:8080 --connect-timeout 5

在这里插入图片描述

kubectl exec clienty -it -- sh
curl 10.97.10.66:8080 --connect-timeout 5

在这里插入图片描述

(2)访问集群外部:

kubectl exec -it deploy-7ffbfc5ff4-pjwlj -- sh
curl 192.168.0.100 --connect-timeout 5

在这里插入图片描述

(3)外部访问:

外部访问,经过Worker节点,源地址经IPVS转换,存在部分问题

7、删除NetworkPolicy:

kubectl delete -f networkpolicy-allow-cidr-ingress.yaml

在这里插入图片描述

8、删除Service:

kubectl delete -f service.yaml

在这里插入图片描述

9、删除Deployment:

kubectl delete -f deploy.yaml

在这里插入图片描述

mengshicheng1992
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
K8S之网络策略
运维@小兵的博客
12-12 1320
k8s网络策略
【K8S系列】深入解析k8s网络之—网络故障
热门推荐
颜淡慕潇
06-14 2万+
网络故障是Kubernetes中常见的问题之一,可能会影响应用程序的正常运行。以下是一些网络故障的常见原因和解决方法的总结:
Kubernetes 网络策略(NetworkPolicy
背着小书包一路追寻梦想
07-21 293
当一个 Pod 的入口被隔离时,唯一允许进入该 Pod 的连接是来自该 Pod 节点的连接和适用于入口的 Pod 的某个 NetworkPolicy 的。当一个 Pod 的出口被隔离时, 唯一允许的来自 Pod 的连接是适用于出口的 Pod 的某个 NetworkPolicy 的。如果策略适用于 Pod 某一特定方向的流量, Pod 在对应方向所允许的连接是适用的网络策略所允许的集合。要允许从源 Pod 到目的 Pod 的连接,源 Pod 的出口策略和目的 Pod 的入口策略都需要允许连接。
K8S NetworkPolicy网络策略介绍与实战
Vic的博客
06-08 1975
默认情况下,Kubernetes 集群网络没任何网络限制,Pod 可以与任何其他 Pod 通信,在某些场景下就需要进行网络控制,减少网络攻击面,提高安全性,这就会用到网络策略。
kubernetes networkpolicy网络策略详解
爱死亡机器人
09-05 1万+
1. 简介 网络策略(NetworkPolicy)是一种关于 Pod 间及与其他网络端点间所允许的通信规则的规范。 NetworkPolicy 资源使用 标签 选择 Pod,并定义选定 Pod 所允许的通信规则。 2. 语法 apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: test-network-policy namespace: default spec: podSelector: matchL
kubernetes1.20.6高可用部署完整资源包
09-18
说明:kubernetes1.20.6高可用部署完整资源包 calico.yaml #calico网络插件yaml文件 cert-rsync-master.sh #证书分发脚本 docker #docker自动化部署工具 init_env.sh #初始化安装脚本 ipvsadm images #k8s相关镜像 ...
go1.20.5.windows-amd64.msi.cab
最新发布
09-07
go1.20.5.windows-amd64.msi
kubernetes-v1.20.6+calio-v3.20.0镜像包
09-13
说明:kubernetes-v1.20.6镜像完整包,包含 k8s.gcr.io/kube-apiserver:v1.20.6 k8s.gcr.io/kube-controller-manager:v1.20.6 k8s.gcr.io/kube-scheduler:v1.20.6 k8s.gcr.io/kube-proxy:v1.20.6 k8s.gcr.io/pause:...
kubernetes 1.20.4 必需镜像
02-24
包含kubernetes v1.20.4必需镜像,有问题私信我 docker load -i kube-apiserver-v1.20.4.tar docker load -i kube-controller-manager-v1.20.4.tar docker load -i kube-scheduler-v1.20.4.tar docker load -i kube-...
kubernetes-v1.20.6+calio-v3.18.0镜像包
09-10
说明:kubernetes-v1.20.6镜像完整包,包含 k8s.gcr.io/kube-apiserver:v1.20.6 k8s.gcr.io/kube-controller-manager:v1.20.6 k8s.gcr.io/kube-scheduler:v1.20.6 k8s.gcr.io/kube-proxy:v1.20.6 k8s.gcr.io/pause:...
关于 KubernetesNetworkPolicy(网络策略)方面的一些笔记
山河已无恙
01-09 2363
混吃等死,小富即安,飞黄腾达,是因为各有各的缘法,未必有高下之分。--—烽火戏诸侯《剑来》
k8s学习-网络策略NetworkPolicy(概念、模版、创建、删除等)
关注网络安全、云原生安全
09-11 2592
3.(Egress 规则)允许 “default” 命名空间中任何带有标签 “role=db” 的 Pod 到 CIDR 10.0.0.0/24 下 5978 TCP 端口的连接。k8s的命名空间是没有强制隔离性的,访问service时加上.namespace的名称即可。:此选择器将选择特定的名字空间,应将所有 Pod 用作其入站流量来源或出站流量目的地。k8s的Pod是没有隔离行的,任意命名空间下的Pod可以访问任意命名空间下的Pod。的 to/from 条目选择特定名字空间中的特定 Pod。
【精品】k8s(kubernetes)的网络策略networkpolicy实例精讲
Friendsofthewind的博客
11-24 342
1、了解networkpolicy的原理2、掌握创建networkpolicy实现流量控制。
k8s集群网络策略(Network Policy
砚墨
07-04 1743
默认情况下,Kubernetes 集群网络没任何网络限制,Pod 可以与任何其他 Pod 通信,在某些场景下就需要进行网络控制,减少网络攻击面,提高安全性,这就会用到网络策略。 网络策略(Network Policy):是一个K8s资源,用于限制Pod出入流量,提供Pod级别和Namespace级别网络访问控制。 网络策略的应用场景: • 应用程序间的访问控制,例如项目A不能访问项目B的Pod • 开发环境命名空间不能访问测试环境命名空间Pod • 当Pod暴露到外部时,需要做Pod白名单 • 多租户网络环
kubernetes networkpolicy
yevvzi的博客
12-26 1510
1.首先创建namespace隔离策略为DefaultDeny kind: Namespace apiVersion: v1 metadata: name: testingnp annotations: net.beta.kubernetes.io/network-policy: | { "ingress": { "isolatio
k8s Networkpolicy 多规则ipblock+port同时匹配测试
qianggezhishen的专栏
02-26 2896
与egress为例,我们想要测试的是172.17.197.252网段的1234 TCP端口通以及172.16.247.58/24段的80TCP端口可以出去,其它不通 测试的目的: 1、验证是否ipblock+port同时满足时,才通。 2、可以在networkpolicy中添加多条egress的ipblock+port区段,且不会聚合,即不会说172.17.197.252网段的80 TCP端口也可...
一起来学k8s 19.NetworkPolicy
隔壁小翔
07-14 899
NetworkPolicy Kubernetes提供了NetworkPolicy,支持按Namespace级别的网络隔离,flannel 是没有网络策略的,calico有网络策略,建议安装calico,或者canal(就是flannel+calico,flannel作为网络划分,calico作为网络策略)。 环境 192.168.48.101 master01 192.168.48.201 nod...
Kubernetes NetworkPolicy工作原理浅析
weixin_30773135的博客
03-08 386
Kubernetes能够把集群中不同Node节点上的Pod连接起来,并且默认情况下,每个Pod之间是可以相互访问的。但在某些场景中,不同的Pod不应该互通,这个时候就需要进行访问控制。那么如何实现呢? 简介   Kubernetes提供了NetworkPolicy的Feature,支持按Namespace和按Pod级别的网络访问控制。它利用label指定namespaces或pod,底层用ipt...
D:\浏览器下载\go1.20.6.windows-amd64安装好了然后呢
07-13
安装完Go编程语言后,您可以进行以下操作: 1. 配置环境变量:将Go的安装目录添加到系统的环境变量中,以便在任意位置都可以访问到Go相关的命令和工具。具体步骤如下: ... ... ... - 在"系统变量"下方找到名为"Path"的变量...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值