kubernetes 网络策略

最新推荐文章于 2024-04-15 10:24:36 发布
最新推荐文章于 2024-04-15 10:24:36 发布
阅读量753 收藏
点赞数
分类专栏: kubetnetes 文章标签: 网络策略
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_21816375/article/details/80058016
版权

概述

网络策略是允许群组与其他网络终端进行通信的规范。

NetworkPolicy资源使用标签选择pods并定义规则,以指定允许所选pods的流量。

使用网络策略的前提
网络策略由网络插件实现,因此您必须使用支持NetworkPolicy的网络解决方案

隔离和非隔离pods
默认pods与pods之间是非隔离的,通过网络插件可以是实现允许哪些pod的流量或者不允许哪些pod的流量

NetworkPolicy资源
例子

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: test-network-policy
  namespace: default
spec:
  podSelector:
    matchLabels:
      role: db
  policyTypes:
 1. Ingress
 2. Egress
  ingress:
 3. from:
    - ipBlock:
        cidr: 172.17.0.0/16
        except:
        - 172.17.1.0/24
    - namespaceSelector:
        matchLabels:
          project: myproject
    - podSelector:
        matchLabels:
          role: frontend
    ports:
    - protocol: TCP
      port: 6379
  egress:
 4. to:
    - ipBlock:
        cidr: 10.0.0.0/24
    ports:
    - protocol: TCP
      port: 5978

除非您选择的网络解决方案支持网络策略,否则将其发布到API服务器将不起作用。

  1. 在入口和出口流量的default空间中分离“role = db”pod(如果它们尚未被隔离)
  2. 允许从default空间中标签为“role = frontend”的任何pods访问default空间中的“role = db”的pods
  3. 允许连接到空间中标签为“project = myproject”的任何pod的default命名空间中的“role = db”pod的TCP端口6379
  4. 允许链接default空间中label为role=db TCP端口是6379 的IP的CIDR在10.0.0.0/2而不在172.17.1.0/24中
  5. 允许链接default空间中label为role=db CIDR为10.0.0.0/24 TCP端口是5978

默认策略

默认拒绝所有入口流量

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: default-deny
spec:
  podSelector: {}
  policyTypes:
  - Ingress

默认允许所有入口流量

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-all
spec:
  podSelector: {}
  ingress:
  - {}

默认拒绝所有出口流量

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: default-deny
spec:
  podSelector: {}
  policyTypes:
  - Egress

默认允许所有出口流量

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-all
spec:
  podSelector: {}
  egress:
  - {}
  policyTypes:
  - Egress

默认拒绝所有入口和所有出口流量

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: default-deny
spec:
  podSelector: {}
  policyTypes:
  - Ingress
  - Egress

END
参考
network-policies

qinzhao168
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网络策略_Kubernetes网络策略,这一篇就够了
weixin_36169520的博客
01-12 1285
目前许多组织都在采用Kubernetes来运行他们的应用程序。以至于有些人将Kubernetes称为新的数据中心操作系统。因此,组织开始将Kubernetes(通常缩写为k8s)视为关键任务平台,它需要包括网络安全在内的成熟业务流程。负责保护这个新平台的网络安全团队可能发现它出奇的不同。例如,默认的Kubernetes策略是允许任何连接。本文提供了一些关于Kubernetes网络策略工作原理的简介...
illuminatio:kubernetes网络策略验证器
05-03
illuminatio-kubernetes网络策略验证器 illuminatio是用于自动测试kubernetes网络策略的工具。 只需执行illuminatio clean run ,illuminatio就会扫描您的kubernetes集群以获取网络策略,相应地构建测试用例,然后...
Ingress 资源与 networking.k8s.io/v1 问题
weixin_48505120的博客
10-14 4513
官方文档:https://kubernetes.io/blog/2019/07/18/api-deprecations-in-1-16/、https://kubernetes.io/blog/2021/07/26/update-with-ingress-nginx/ 和。这个v1beta1 版本中来,至于什么时候开始这个 networking.k8s.io/v1beta1 这个beta版本变成了稳定版本,可以看。版本下, 我们ingress 的yaml 里,有些。, e.g ,下面我们需要修改我们的。
kubernetes networkpolicy网络策略详解
爱死亡机器人
09-05 1万+
1. 简介 网络策略(NetworkPolicy)是一种关于 Pod 间及与其他网络端点间所允许的通信规则的规范。 NetworkPolicy 资源使用 标签 选择 Pod,并定义选定 Pod 所允许的通信规则。 2. 语法 apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: test-network-policy namespace: default spec: podSelector: matchL
Kubernetes那点事儿——k8s网络策略
liangpangpangyo的博客
04-15 575
将default命名空间携带app=web标签的Pod隔离,只允许default命名空间携带run=client标签的Pod访问80端口。default命名空间下所有pod可以互相访问,也可以访问其他命名空间Pod,但其他命名空间不能访问default命名空间Pod。网络策略(Network Policy),用于限制Pod出入流量,提供Pod级别和Namespace级别网络访问控制。
27,service type,ClusterIP,NodePort,LoadBalancer,ExternalName
weixin_43292547的博客
10-16 445
详细看这里 ClusterIP:默认值,它是Kubernetes系统自动分配的虚拟IP,只能在集群内部访问 NodePort:将Service通过指定的Node上的端口暴露给外部,通过此方法,就可以在集群外部访问服务 LoadBalancer:使用外接负载均衡器完成到服务的负载分发,注意此模式需要外部云环境支持 ExternalName: 把集群外部的服务引入集群内部,直接使用 ClusterIP,仅限内部访问 apiVersion: v1 kind: Service metadata: name:
设计安全高效网络的17个关键策略
2201_75362610的博客
01-30 1114
随着越来越多的业务流程走向数字化,拥有一个强大可靠的网络能够处理日益增长的日常流量对于维持生产力和服务至关重要。同时,网络攻击者永远不会停滞不前,每家组织都是潜在的目标。技术领导者及其团队比以往任何时候更知道设计一种网络架构的重要性,以便提供可靠的服务,并防御未经授权的访问。《福布斯》杂志技术委员会的17位专家成员在本文中分享并解释了组建和维护安全高效网络的一些关键策略,这是当今数字化工作场所的必备知识。
kubernetes-network-policy-recipes:您可以复制粘贴的Kubernetes网络策略的示例配方
02-04
而随着安全性成为关注焦点,Kubernetes网络策略(Network Policy)成为了确保应用之间通信安全的重要工具。"kubernetes-network-policy-recipes" 提供了一系列可直接使用的示例,帮助用户更好地理解和实施这些策略。...
enn-policy:实施Kubernetes网络策略
05-08
环保政策 特征 实现 支持k8s.io/api/networking/v1 API 支持法兰绒作为kubernetes网络结构 支持iptables作为kubernetes kube-proxy模式 使用iptables规则和ipset实现Kubernetes联网ACL 入门
k8s-netpol:Calico的Kubernetes网络策略
03-30
Kubernets网络策略 问题 许多人认为名称空间提供了网络隔离,但事实并非如此。 尝试这个: # Create a dev namespace kubectl create ns dev # Create a pod and a services kubectl run nginx --image=nginx:...
kubernetes网络插件-calico
01-12
Kubernetes网络插件Calico是 Kubernetes 集群中的重要组成部分,它提供了高度可配置和安全的网络解决方案。在Kubernetes生态系统中,网络插件负责为Pods(应用容器)提供网络连接,确保服务间的通信以及与外部世界的...
Kubernetes网络策略,这一篇就够了
u012516914的专栏
05-19 818
目前许多组织都在采用Kubernetes来运行他们的应用程序。以至于有些人将Kubernetes称为新的数据中心操作系统。因此,组织开始将Kubernetes(通常缩写为k8s)视为关键任务平台,它需要包括网络安全在内的成熟业务流程。负责保护这个新平台的网络安全团队可能发现它出奇的不同。例如,默认的Kubernetes策略是允许任何连接。本文提供了一些关于Kubernet...
k8s v1.22版本中Ingress配置:no matches for kind “Ingress“ in version “networking.k8s.io/v1beta1“
小单的博客专栏
11-09 1万+
在部署Ingress-nginx过程中(我使用的是1.22版本的k8s),遇到问题 “no matches for kind “Ingress” in version “networking.k8s.io/v1beta1””,查阅资料确定是因为k8s版本过新且已不支持对应的api,所有需要对其进行更改。 然后查阅官方文档,,发现1.19版本以后,Ingress 所在的 apiServer 和配置文件参数都有所更改,具体配置相关资料1和资料2。 (END) ...
k8s 网络策略
qq_39124041的博客
02-13 558
支持基于calico的网络策略 apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: test-network-policy namespace: default spec: podSelector: matchLabels: #该参数为空则保护当前命名空间下所有pod role: db policyTypes: - Ingress #其它客户端进入流量 - Egress
网络策略calico
weixin_46754666的博客
05-18 554
在集群内定义一个网络策略,哪些策略可以访问,哪些策略不可以访问。这种策略需要网络插件支持的。默认情况下,flannel不带有这种网络策略支撑。 calico server2 kubectl -n kube-system get pod
k8s 对外服务之 ingress|ingress的对外暴露方式|ingress http,https代理|ingress nginx的认证,nginx重写
m0_75015568的博客
05-27 2467
k8s 对外服务之 ingress|ingress的对外暴露方式|ingress http,https代理|ingress nginx的认证,nginx重写
详解K8S入口Ingerss
热门推荐
天然玩家的博客
09-21 2万+
(1)Ingress是集群中管理外部接入Service的接口(API)对象。 (2)Ingress可提供负载均衡、SSL终端和基于名称虚拟主机等功能。 (3)Ingress中的每个路径需要有对应的路径类型。支持的三种路径类型:ImplementationSpecific、Exact和Prefix。 (4)Ingress可路由一个或多个Service,并且可动态更新Service路由关系。通过kubectl edit ingress ingress-name。
部署应用报错no matches for kind “Ingress“ in version “networking.k8s.io/v1beta1“
qq_45034687的博客
03-29 1548
应用部署错误no matches for kind “Ingress“ in version “networking.k8s.io/v1beta1“
kubernetes网络管理实训报手册
最新发布
04-19
3. 网络策略:介绍了Kubernetes网络策略的概念和用法,包括如何定义网络策略、如何限制Pod之间的网络访问、如何控制入口和出口流量等。 4. 网络故障排查:介绍了常见的Kubernetes网络故障排查方法和工具,包括查看...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值