CNI 网络分析 2. Kubernetes NetworkPolicy

已于 2023-02-23 22:43:12 修改
阅读量298 收藏
点赞数
分类专栏: CNI 从零开始 文章标签: kubernetes CNI 网络
于 2023-02-16 23:42:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mr1jie/article/details/129075128
版权

文章目录

NetworkPolicy

为集群中特定应用使用 Kubernetes 网络策略(NetworkPolicy),在 IP 地址或端口层面(OSI 第 3 层或第 4 层)控制网络流量。

Kubernetes NetworkPolicy

Kubernetes 只是定义了 networkPolicy API,实现上还是要依赖各个网络插件 cni;
Networkpolicy 定义 一组 pod 的访问规则。所以通过 selector 对所生效的 pod 做一个选择。

Pod 隔离类型

Pod 隔离分 egress 隔离和 ingress 隔离,默认情况下,都是非隔离的,所有进出的流量都是允许的。
网络策略是相加的,所以不会产生冲突。要允许从源 Pod 到目的 Pod 的连接,源 Pod 的出口策略和目的 Pod 的入口策略都需要允许连接。 如果任何一方不允许连接,建立连接将会失败。

NetworkPolicy 资源

Networkpolicy 对一组 pod 生效,通过 podSelector 进行选择

  podSelector:
    matchLabels:
      role: pod1
      team: test

Pod label 中 role: pod1 且 team: test 的 pod 生效
不止 matchLabels,同样支持 matchExpressions

matchLabels: {} 代表所有

规则内容

规则生效部分有三种类型:

  • namespaceSelector:匹配 namespace,通过给 namespace 打 label,然后选择对应的 namespace;
  • podSelector:一组 pod;
  • ipBlock:地址段,可以通过 except 剥离某个段;
    除了上面三种类型,还有 ports 选项,指定协议和端口号;协议有 TCP,UDP,SCTP;端口号也可以写一个或范围(通过 endPort 设置)

policyType

每个 NetworkPolicy 都包含一个 policyTypes 列表,其中包含 Ingress 或 Egress 或两者兼具。policyTypes 字段表示给定的策略是应用于进入所选 Pod 的入站流量还是来自所选 Pod 的出站流量,或两者兼有。
注意:如果 NetworkPolicy 未指定 policyTypes 则默认情况下始终设置 Ingress; 如果 NetworkPolicy 有任何出口规则的话则设置 Egress。
是指根据实际的 ingress,egress 配置来显示 policyTypes,如果有对应的 规则,则会更新上对应的 policyTypes

Ingress

每个 NetworkPolicy 可包含一个 ingress 规则的白名单列表。 每个规则都允许同时匹配 from 和 ports 部分的流量。

Egress

每个 NetworkPolicy 可包含一个 egress 规则的白名单列表。 每个规则都允许匹配 to 和 port 部分的流量。

示例说明

  1. Ingress
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: app-to-app
spec:
  podSelector:
    matchLabels:
      app: nginx
  policyTypes:
    - Ingress
  ingress:
  - from:
    - podSelector:
        matchLabels:
          role: pod1
    ports:
    - protocol: TCP
      port: 443

白名单,只有从 role:pod1 且访问 443 端口才能访问;role:pod1 来的流量访问其他端口不通过,在 role:pod1 以外的 pod 也访问不了;

  1. Egress
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: app-to-app
spec:
  podSelector:
    matchLabels:
      role: pod1
  policyTypes:
    - Egress
  egress:
  - to:
    - podSelector:
        matchLabels:
          app: nginx
    ports:
    - protocol: TCP
      port: 80

白名单:从 role:pod1 出来的流量,只能到 app:nginx 的 80 端口,到其他的流量全不通;包括非集群内。

  1. Ingress + namespaceselector
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: app-to-app
spec:
  podSelector:
    matchLabels:
      app: nginx
  policyTypes:
    - Ingress
  ingress:
  - from:
    - namespaceSelector:
        matchLabels:
          user: xujunjie
    ports:
    - protocol: TCP
      port: 80

只有从 user:xujunjie 下的 pod 才可以访问 app:nginx 80 端口;

  1. Ingress + ipBlock
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: app-to-app
spec:
  podSelector:
    matchLabels:
      app: nginx
  policyTypes:
    - Ingress
  ingress:
  - from:
    - ipBlock:
        cidr: 10.244.0.1/16
        except:
          - 10.244.153.192/26

只有在 10.244.0.1/16 且除了 10.244.153.192/26 的源 IP 才可以访问

  1. matchLabel: {}
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: default-deny-ingress
spec:
  podSelector:
    matchLabels: {}
  policyTypes:
  - Ingress

所有 pod Ingress 空白名单,即所有 pod 都拒绝访问

Calico NetworkPolicy

Calico 实现 Kubernetes NetworkPolicy 的所有规范,且可以和 Kubernetes NetworkPolicy 混用;
Calico NetworkPolicy 可以作用在 host interface 额外支持 host 和 vm;
和 Istio,Envoy 集成可以支持作用 L5-L7 ;
可以在策略规则中使用 FQDN/域名来限制对特定外部服务的访问;

Calico networkpolicy 可以通过 crd networkpolicies.crd.projectcalico.org 去使用,除了支持自己的命名空间的 networkpolicy 也可以支持非命名空间的 全局networkpolicy。
支持

  • 策略排序/优先级
  • 拒绝并记录规则中的操作
  • 更灵活的匹配标准用于应用策略和策略规则,L5-L7,加密等
  • 引用非Kubernetes pod,配合 NetworkSet 实现,如 vm,主机接口等
  • order,应用顺序,越大越后应用,后应用会覆盖前应用的

具体如何实现 networkPolicy 的功能在 Calico CNI 介绍章节中继续

NetworkPolicy 使用场景:

  • 使用 ingress 保护 pod
  • 使用少量适用于所有pod的全局策略,然后使用单个pod特定策略来定义特定于该pod的所有入口和出口规则
  • 开全局 deny,然后只开允许的流量
junjie xu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
k8s network policy配置,看这篇就够了
weixin_36086263的博客
06-10 6235
这是一篇关于k8s的网络策略配置说明 用户在使用k8s中,有对网络策略的配置需求,有时候希望不同的namespace之间不能互相访问,但是我们知道k8s中所有的pod之间都是可以互相访问的,这个时候就需要网络策略来帮助我们实现这个诉求,网络策略依赖于cni网络插件,不是所有的网络插件都支持网络策略,calico支持网络策略,而flannel不支持。 接下来我以一张图来说明k8s的networkpolicy资源的配置 整个图总接下来如下: 入口规则: 仅允许 1.来自(from)命名空间(spec
Kubernetes网络隔离NetworkPolicy实验
liukuan73的专栏
11-28 7200
前言Kubernetes的一个重要特性就是要把不同node节点的pod(container)连接起来,无视物理节点的限制。但是在某些应用环境中,比如公有云,不同租户的pod不应该互通,这个时候就需要网络隔离。幸好,Kubernetes提供了NetworkPolicy,支持按Namespace级别的网络隔离。使用NetworkPolicy需要kubernetes1.8以及calico2.6.2。实验步
关于 kubernetes网络(CNI规范)中Calico,NetworkPolicy(网络策略)方面的一些笔记
山河已无恙
01-09 1550
认定一件事,即使拿十分力气都无法完成,也要拿出十二分力气去努力——烽火戏诸侯《剑来》
Kubernetes网络策略(Network Policy)
yuan_jiaoyoung的博客
10-26 383
Kubernetes网络策略(Network Policy)
kubernetes networkpolicy网络策略详解
热门推荐
爱死亡机器人
09-05 1万+
1. 简介 网络策略(NetworkPolicy)是一种关于 Pod 间及与其他网络端点间所允许的通信规则的规范。 NetworkPolicy 资源使用 标签 选择 Pod,并定义选定 Pod 所允许的通信规则。 2. 语法 apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: test-network-policy namespace: default spec: podSelector: matchL
CNI 网络分析 1. 目录
mr1jie的博客
02-06 276
CNI 网络
Kubernetes NetworkPolicy的应用
qq_45631844的博客
12-01 631
文章目录一、前言二、K8S网络类型的更改1. 查看当前集群的网络类型2. 更改网络类型三、部署calico网络1. 下载calico网络需要用到的镜像2. 下载calico网络的yaml部署文件 一、前言 NetworkPolicy网络策略)是基于网络插件来实现的,默认情况下,整个集群中所有的pod都是可以互通的,但是针对一些特殊的需求,我们就需要用网络策略来对相应的pod做出隔离。NetworkPolicy依赖于网络插件,但不是所有的网络插件都支持网络策略,比如:calico支持网络策略,而flan
关于 KubernetesNetworkPolicy(网络策略)方面的一些笔记
山河已无恙
01-09 2358
混吃等死,小富即安,飞黄腾达,是因为各有各的缘法,未必有高下之分。--—烽火戏诸侯《剑来》
Kubernetes部署CNI网络插件
04-18
部署CNI网络插件
cni-v3.15.1.tar.gz
07-17
Kubernetes v1.18.4 kubeadm安装全部组件。 images/ ├── load.sh ├── node │ ├── cni-v3.15.1.tar.gz │ ├── coredns-1.6.7.tar.gz │ ├── kube-proxy-v1.18.4.tar.gz │ ├── node-v3.15.1....
部署CNI网络插件calico.yaml,下载这个自行修改
01-09
部署CNI网络插件calico.yaml,下载这个自行修改
34 Kubernetes网络模型与CNI网络插件.pdf
09-18
34 Kubernetes网络模型与CNI网络插件.pdf
k8s搭建Kubernetes(k8s)集群用到的部署CNI网络插件
02-21
问题场景:由于k8s安装master一直处于NotReady状态查看日志出现 failed to find plugin “flannel” in path [/opt/cni/bin]【CentOS7.9】(ps:不需要积分) 解决办法:下载CNI插件,在此提供amd和arm,其他可访问链接...
k8s离线部署Calico网络(2续)
weixin_72819498的博客
06-10 286
链接:https://pan.baidu.com/s/14ReJW-ZyYZFLbwSEBZK6mA?
k8s基础命令集合
清瞳清的博客
06-11 215
这些命令是Kubernetes管理中最常用的一些基本操作,熟练掌握这些命令能够帮助你高效地管理Kubernetes集群和应用。
【K8s源码分析(三)】-K8s调度器调度周期介绍
slipegg的博客
06-09 1235
从k8s源代码出发介绍了K8s调度周期中的各种事件。
k8s_探针专题
最新发布
纵歌的博客
06-14 242
k8s_探针专题
k8s-CCE创建工作负载变量引用
weixin_60092693的博客
06-10 396
背景,看到cce创建负载时会生成变量,如下。在skywaking-agent的使用,想要调用cce负载变量生成service_name。以变量形式配置时,可以调用,但是插拔性不强,去掉就找不回了,而且不够安全。2、以自定义变量调用cce变量:以下仅$(PAAS_APP_NAME)生效了,使用还是要标准些。构建时引用不到cce的变量,且以字符串的形式给了java-options,不会再产生调用。2、配置项调用PAAS_APP_NAME时是调用不到的。追加临时的变量参数,直接调用cce的负载变量。
multus-cni网络cni插件源码分析
05-09
multus-cni 是一个 Kubernetes 的多网络 CNI 插件,它是 Kubernetes 上负责多网络管理的代表性插件之一。它允许 Kubernetes 集群中的每个 Pod 拥有多个网络接口,并能针对每个网络接口对应的网络策略和路由进行不同...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值