calico网络策略

最新推荐文章于 2024-03-16 12:00:00 发布
最新推荐文章于 2024-03-16 12:00:00 发布
阅读量709 收藏
点赞数
分类专栏: calico 文章标签: 网络 kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_26572567/article/details/123254433
版权

关于优先级order:

  1. 为了与 Kubernetes 兼容,Calico 网络策略执行遵循 Kubernetes pod 的标准约定:

如果没有网络策略适用于 Pod,则允许所有进出该 Pod 的流量。

如果一个或多个网络策略应用于类型为 ingress 的 pod,则仅允许这些策略明确允许的入口流量。

如果一个或多个网络策略应用于类型为 egress 的 pod,则仅允许这些策略明确允许的出口流量。

对于其他端点类型(VM、主机接口),默认行为是拒绝流量。即使没有网络策略应用于端点,也只允许网络策略明确允许的流量。

  1. order: 策略叠加时的应用次序,数字越小越先应用,冲突时,后者会覆盖前者
  2. Global vs非全局并不是决定策略应用的顺序的一个因素。排序是由Calico NetworkPolicy和GlobalNetworkPolicy资源的“order”字段决定的,它的“order”政策首先应用于此。
  3. 如果没有指定“order”默认值到∞,那么将会应用未指定的“order”策略。
  4. Calico还实现了Kubernetes NetworkPolicy资源,它没有一个明确的“order”字段。为了命令那些对Calico资源的人,我们将Kubernetes的NetworkPolicy资源对待,就像他们有一个隐式的“顺序”1000。
  5. 对于具有相同order的策略来说,代码中有一个搭配器,但你不应该知道它是什么或依赖它,因为当排序很重要的时候,最好使用一个明确的“order”值。

Enable default deny for Kubernetes pods

资源定义:

GlobalNetworkPolicy

GlobalNetworkSet

NetworkPolicy

NetworkSet

常用命令:

https://docs.projectcalico.org/reference/calicoctl/

calicoctl apply -f policy.yaml

calicoctl apply -f policy.yaml

calicoctl get/delete np/gnp

参考资料:

About Calico

GitHub - projectcalico/libcalico-go: Golang Calico library functions: https://www.projectcalico.org

一文学会Calico高级网络策略 - 简书

最佳实践:calico建议

零信任网络模型

https://docs.projectcalico.org/security/adopt-zero-trust

隐式默认拒绝策略

我们建议为您的 Kubernetes pod 创建隐式默认拒绝策略,无论您使用 Calico 还是 Kubernetes 网络策略。这可确保默认情况下拒绝不需要的流量。请注意,隐式默认拒绝策略总是最后出现;如果任何其他策略允许流量,则拒绝不会生效。仅在评估所有其他策略后才执行拒绝。

Enable default deny for Kubernetes pods

Ingress 解决方案的类型

从广义上讲,有两种类型的入口解决方案:

  1. 集群内入口 - 入口负载平衡由集群本身内的 pod 执行。
  2. 外部入口 - 入口负载平衡由设备或云提供商功能在集群外部实现。

全局网络策略:

apiVersion: projectcalico.org/v3

kind: GlobalNetworkPolicy

metadata:

  name: global-default

spec:

  types:

  - Ingress

  - Egress

  ingress:

  - action: Allow

    source: {}

  egress:

  - action: Allow

destination: {}

网络策略

kind: NetworkPolicy
apiVersion: projectcalico.org/v3
metadata:
  name: hfftest
  namespace: hff
spec:
  order: 1000
  ingress:
    - action: Allow
      protocol: TCP
      source:
        namespaceSelector: name == 'hffns'
      destination:
        ports:
          - 80
    - action: Deny
      source:
        namespaceSelector: name != 'hfftest' && (! has(privileged-namespace))
      destination: {}
  egress:
    - action: Allow
      source: {}
      destination:
        namespaceSelector: name == 'hff1'
    - action: Deny
      source: {}
      destination:
        namespaceSelector: name != 'hfftest' && (! has(privileged-namespace))
  types:
    - Ingress
    - Egress

fengfanghuang
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网络策略_Kubernetes网络策略,这一篇就够了
weixin_36169520的博客
01-12 1266
目前许多组织都在采用Kubernetes来运行他们的应用程序。以至于有些人将Kubernetes称为新的数据中心操作系统。因此,组织开始将Kubernetes(通常缩写为k8s)视为关键任务平台,它需要包括网络安全在内的成熟业务流程。负责保护这个新平台的网络安全团队可能发现它出奇的不同。例如,默认的Kubernetes策略是允许任何连接。本文提供了一些关于Kubernetes网络策略工作原理的简介...
关于 kubernetes网络(CNI规范)中Calico,NetworkPolicy(网络策略)方面的一些笔记
山河已无恙
01-09 1550
认定一件事,即使拿十分力气都无法完成,也要拿出十二分力气去努力——烽火戏诸侯《剑来》
Kubernetes_容器网络_Calico_02_Calico网络策略NetworkPolicy
毛毛的专栏
02-19 834
Calico网络策略NetworkPolicy
网络策略calico
weixin_46754666的博客
05-18 551
在集群内定义一个网络策略,哪些策略可以访问,哪些策略不可以访问。这种策略需要网络插件支持的。默认情况下,flannel不带有这种网络策略支撑。 calico server2 kubectl -n kube-system get pod
设计安全高效网络的17个关键策略
最新发布
wangluoanquan111的博客
03-16 907
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
kubernetes 网络之 flannel 与 calico
06-19
Kubernetes是Google开源的一个容器编排引擎,它支持自动化部署、大规模可伸缩、应用容器化管理。... Calico网络策略的高级使用场景,比如限制到k8s节点的流量及高并发流量的旁路等。 ? 6. Flannel网络的迁移及和ca
calico:云原生网络网络安全
04-27
一个策略引擎 ,用于实施全套Kubernetes网络策略功能,以及那些需要更丰富的策略功能集Calico网络策略的用户。 公共云或本地部署中的非覆盖和网络选项。 ,可以将工作负载和服务IP地址的通告到物理网络基础结构,...
k8s-netpol:CalicoKubernetes网络策略
03-30
Kubernets网络策略 问题 许多人认为名称空间提供了网络隔离,但事实并非如此。 尝试这个: # Create a dev namespace kubectl create ns dev # Create a pod and a services kubectl run nginx --image=nginx:...
虚拟机和容器网络Calico.zip
07-19
Calico 除了为 OpenStack VMs 提供网络之外,还为 Docker 环境的容器提供网络。每个容器有自己的 IP 和细粒度的安全策略。此外,Calico 可以在没有封装的情况下也可以部署,支持 IPv4 和 IPv6。Project Calico 是纯...
Calico应用程序层策略预览-Golang开发
05-26
Calico应用程序层策略预览应用程序层策略Project的应用程序层策略Calico使用Istio实施网络和应用程序层授权策略。 Istio铸造并分发加密身份,并使用它们在Pod之间建立相互认证的TLS连接。 Calico对此通信实施了授权...
calico+NetworkPolicy实践
09-27
calico简介 NetworkPolicy简介 租户间网络隔离方案及方案用例测试演示
kubernetes实践之五十九:NetworkPolicy
clmaykr95629的博客
06-20 278
一: 简介 1.Kubernetes的一个重要特性就是要把不同node节点的pod连接起来,无视物理节点的限制。但是在某些应用环境中,比如公有云,不同租户的pod不应该互通,这个时候就需要网络隔离。幸好,Kubernetes...
网络策略
HMing的博客
03-23 5411
目录cdn是什么?cdn有什么用?cdn工作原理?cdn优缺点? cdn是什么? 来自于百度词汇 CDN的全称是Content Delivery Network,即内容分发网络。CDN是构建在现有网络基础之上的智能虚拟网络,依靠部署在各地的边缘服务器,通过中心平台的负载均衡、内容分发、调度等功能模块,使用户就近获取所需内容,降低网络拥塞,提高用户访问响应速度和命中率。CDN的关键技术主要有内容存储和分发技术。 cdn有什么用? 1、 cdn工作原理? cdn优缺点? ...
k8s系列(十七:实例)Calico网络策略
xopqaaa的博客
01-15 1032
https://docs.projectcalico.org/v3.10/getting-started/kubernetes/ 基于BGP的方式来构建网络另外可以基于IPIP,基于ip报文承载另一个ip报文,也支持ipip隧道 calico服务于192.168.0.0/16 calico不支持ipvs支持iptables 部署 Egress:pod访问目标,对方地址、端口...
Kubernetes进阶 -- calico网络插件
thermal_life的博客
06-28 1758
k8s的主流网络插件 calico ,配合 flannel 共同使用效果更佳
calicokubernetes中的策略
沈首二
10-25 2283
calicokubernetes中的策略前期环境试验在上一遍文章中《kubernetescalico整合》,搭建了基于calicokubernetes集群,以下将对于这个环境进行测试,没有对calico进行任何策略配置,即使用的默认策略。在以上环境中的default namespace中,部署了busybox pod应用,用于测试。 在kube-system namespace中部署了sky
容器编排之Kubernetes网络隔离NetworkPolicy
Kubernetes中文社区
07-04 6463
Kubernetes的一个重要特性就是要把不同node节点的pod(container)连接起来,无视物理节点的限制。但是在某些应用环境中,比如公有云,不同租户的pod不应该互通,这个时候就需要网络隔离。幸好,Kubernetes提供了NetworkPolicy,支持按Namespace级别的网络隔离,这篇文章就带你去了解如何使用NetworkPolicy。 需要注意的是,使用Network
k8s calico网络原理以及多租户实现设计
热门推荐
虾米的博客
04-07 1万+
软件定义网络SDN 基础概念介绍 租户(Tenant):在网络资源上完全隔离的一个用户,在业务上可以代表一个对于网络有隔离和管理需求的部门。一个租户可以对应多个网络网络Network):在业务上可以代表一个部门下的一个项目组。一个网络只能挂在一个租户下面,同时可以有多个子网。 子网(Subnet):在业务上可以代表一个部门下项目组的一个开发或测试环境。同一个net
k8s部署calico网络
05-28
可以使用以下命令启用 Calico 网络策略: ``` kubectl apply -f https://docs.projectcalico.org/v3.20/manifests/calico-network-policy.yaml ``` 等待 Calico 网络策略部署完成。 4. 部署测试 Pod 进行测试...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值