概述
网络策略是允许群组与其他网络终端进行通信的规范。
NetworkPolicy资源使用标签选择pods并定义规则,以指定允许所选pods的流量。
使用网络策略的前提
网络策略由网络插件实现,因此您必须使用支持NetworkPolicy的网络解决方案
隔离和非隔离pods
默认pods与pods之间是非隔离的,通过网络插件可以是实现允许哪些pod的流量或者不允许哪些pod的流量
NetworkPolicy资源
例子
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: test-network-policy
namespace: default
spec:
podSelector:
matchLabels:
role: db
policyTypes:
1. Ingress
2. Egress
ingress:
3. from:
- ipBlock:
cidr: 172.17.0.0/16
except:
- 172.17.1.0/24
- namespaceSelector:
matchLabels:
project: myproject
- podSelector:
matchLabels:
role: frontend
ports:
- protocol: TCP
port: 6379
egress:
4. to:
- ipBlock:
cidr: 10.0.0.0/24
ports:
- protocol: TCP
port: 5978
除非您选择的网络解决方案支持网络策略,否则将其发布到API服务器将不起作用。
- 在入口和出口流量的default空间中分离“role = db”pod(如果它们尚未被隔离)
- 允许从default空间中标签为“role = frontend”的任何pods访问default空间中的“role = db”的pods
- 允许连接到空间中标签为“project = myproject”的任何pod的default命名空间中的“role = db”pod的TCP端口6379
- 允许链接default空间中label为role=db TCP端口是6379 的IP的CIDR在10.0.0.0/2而不在172.17.1.0/24中
- 允许链接default空间中label为role=db CIDR为10.0.0.0/24 TCP端口是5978
默认策略
默认拒绝所有入口流量
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: default-deny
spec:
podSelector: {}
policyTypes:
- Ingress
默认允许所有入口流量
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: allow-all
spec:
podSelector: {}
ingress:
- {}
默认拒绝所有出口流量
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: default-deny
spec:
podSelector: {}
policyTypes:
- Egress
默认允许所有出口流量
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: allow-all
spec:
podSelector: {}
egress:
- {}
policyTypes:
- Egress
默认拒绝所有入口和所有出口流量
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: default-deny
spec:
podSelector: {}
policyTypes:
- Ingress
- Egress
END
参考
network-policies