十九. Kubernetes NetworkPolicy 网络隔离策略

最新推荐文章于 2024-02-09 12:21:04 发布
最新推荐文章于 2024-02-09 12:21:04 发布
阅读量632 收藏
点赞数
分类专栏: k8s 文章标签: kubernetes 网络 docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29799655/article/details/127301607
版权
NetworkPolicy用于在Kubernetes中实现网络策略隔离,通过podSelector选择特定Pod,并定义Ingress和Egress规则,控制Pod的出入站流量。例如,允许来自特定标签或命名空间的Pod,以及指定CIDR范围的IP访问。注意,不同云供应商和网络插件可能影响NetworkPolicy的实际效果。
摘要由CSDN通过智能技术生成

目录

一. NetworkPolicy 基础解释

  1. 官方文档
  2. NetworkPolicy 网络策略(网络隔离策略): k8s中资源是通过命名空间隔离的,但是为了保证k8s的网络互通性,是没有做隔离的,防止调用错误,例如测试环境请求到了生产服务等问题,可以通过NetworkPolicy定义网络策略
  3. 通过NetworkPolicy可以精确到pod设置网络隔离,基于pod的标签,NameSpace, CIDR进行隔离(默认情况下Pod 都是非隔离的)
  4. 实际可以理解成编写NetworkPolicy的yaml,内部使用选择器选中指定pod,对选中的pod设置网络策略,限制被选中的pod允许哪些资源访问,限制被选中的pod可以访问哪些资源
  5. 一个NetworkPolicy的yaml示例与解释
  1. “kind: NetworkPolicy”: 当前资源时NetworkPolicy
  2. 通过podSelector设置选择器,设置选中哪些pod,针对选中的pod编写网络策略
  3. “policyTypes”: 有两个值"Ingress" 入站策略与"Egress"出站策略
  4. “ingress”: 在该字段下编写入站策略,也就是被选中的pod允许哪些资源访问
  5. “egress”: 在该字段下编写出站策略,也就是被选中的pod可以访问哪些资源
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: networkpol-01
  namespace: default
spec:
  podSelector:  #pod选择器
    matchLabels:
       app: canary-nginx  #使用标签选中pod,限制被选中的pod的访问
  policyTypes: 
    - "Ingress"
    - "Egress"  
  ingress: #入站白名单(当前被选中的pod允许哪些资源访问)
  - from: 
      - podSelector: #通过pod选择器同命名空间下的运行访问pod
          matchLabels:
            name: busybox   ## busybox 可以得到 canary-nginx 的内容
      - namespaceSelector: #通过命名空间选择器选中允许访问的资源有哪些
          matchLabels:
            kubernetes.io/metadata.name: hello ## 这个hello名称空间的可以访问 canary-nginx 的内容
      - ipBlock: #CIDR方式指定允许访问的资源有哪些
          cidr: "192.168.0.0/16" ## 默认 从 192.168.0.0 - 192.168.255.255 都能访问这个Pod
          except: ## 排除指定范围
            - "192.168.1.0/24"  ## 192.168.1.0-192.168.1.255  不能访问

      ### 两个 - ,代表并集(或者)
      ### 一个 - ,代表交集(且)
    ports:
      - port: 80 #监听端口
  egress: ## 出站白名单,也就是当前通过"canary-nginx"选中的pod能给访问哪些资源
  - to:  
      - namespaceSelector:
          matchLabels:
            kubernetes.io/metadata.name: hello  ## app: canary-nginx 能访问hello名称空间的所有
    ports:
      - port: 80 #监听端口
  1. to和from选择器的行为:NetworkPolicy 的 spec.ingress.from 和 spec.egress.to 字段中,都可以指定 4 种类型的标签选
    择器
  1. podSelector 选择与 NetworkPolicy 同名称空间中的 Pod 作为入方向访问控制规则的源或者出方向访问控制规则的目标
  2. namespaceSelector 选择某个名称空间下所有的Pod作为入方向访问控制规则的源或者出方向访问控制规则的目标
  3. namespaceSelector 和 podSelector 在一个 to / from 条目中同时包含 namespaceSelector 和podSelector 将选中指定名称空间中的指定 Pod。此时请特别留意 YAML 的写法
  4. ipBlock 可选择 IP CIDR 范围作为入方向访问控制规则的源或者出方向访问控制规则的目标。这里应该指定的是集群外部的 IP,因为集群内部 Pod 的 IP 地址是临时分配的,且不可预测
  1. 集群的入方向和出方向网络机制通常需要重写网络报文的 source 或者 destination IP。kubernetes 并未定义应该在处理 NetworkPolicy 之前还是之后再修改 source / destination IP,因此,在不同的云供应商、使用不同的网络插件时,最终的行为都可能不一样。这意味着
  1. 对于入方向的网络流量,某些情况下,你可以基于实际的源 IP 地址过滤流入的报文;在另外一些情况下,NetworkPolicy 所处理的 “source IP” 可能是 LoadBalancer 的 IP 地址,或者其他地址
  2. 对于出方向的网络流量,基于 ipBlock 的策略可能有效,也可能无效
苹果香蕉西红柿
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
12、k8s Namespaces 资源隔离
无痕的博客
07-13 837
kube-public 这个命名空间是自动创建的,所有用户(包括未经过身份验证的用户)都可以读取它。这个命名空间主要用于集群使用,以防某些资源在整个集群中应该是可见和可读的。PersistentVolumes是不属于任何namespace的,但PersistentVolumeClaim是属于某个特定namespace的;命名空间名称满足正则表达式[a-z0-9]([-a-z0-9]*[a-z0-9])?default 没有指明使用其它命名空间的对象所使用的默认命名空间。支持的格式有很多,比较常见的是。
examples:Kubernetes NetworkPolicy示例
04-01
Kubernetes 集群中,NetworkPolicy 是一种强大的工具,用于定义网络隔离策略,以控制Pod之间的通信。本资源库包含了各种类型的 NetworkPolicy 示例,帮助用户理解和实施网络策略,以增强集群的安全性。下面将详细...
kubernetes网络隔离(Networkpolicy)
kjkdd的博客
05-15 682
可以看到,这幅示意图中,IP 包“一进一出”的两条路径上,有几个关键的“检查点”,它们正是 Netfilter 设置“防火墙”的地方。其中,这个允许流入的“白名单”里,我指定了三种并列的情况,分别是:ipBlock、namespaceSelector 和 podSelector。例如,在我们上面这个例子里,我在 policyTypes 字段,定义了这个 NetworkPolicy 的类型是 ingress 和 egress,即:它既会影响流入(ingress)请求,也会影响流出(egress)请求。
Kubernetes网络隔离
Holmes的博客
06-25 689
Kubernetes网络隔离 Network Policies 隔离手段:NetworkPolicy 要在Kubernetes集群中使用NetworkPolicy,CNI网络插件必须维护一个NetworkPolicy Controller,支持KubernetesNetworkPolicy。实现了NetworkPolicy网络插件包括Weave和Calico等,但不包括Flannel。通过控制循环的方式对NetworkPolicy对象的增删改查作出响应,然后在宿主机上完成iptables规则的配置工作
云原生内容分享(十五):云原生k8s集群安全隔离建设方案详解
之乎者也·的博客
02-09 1401
网络策略Network Policies):在Kubernetes等容器编排系统中,可以定义网络策略来控制不同Pod间的网络通信。通过标签选择器来决定哪些Pod可以互相通信。命名空间(Namespaces):Kubernetes中的命名空间提供了逻辑上的隔离,不同的服务可以在各自的命名空间中运行,从而实现一定程度的网络和资源隔离。服务网格(Service Mesh):例如Istio等服务网格组件提供细粒度的流量管理和安全策略实施。
Kubernetes集群中的高性能网络策略
weixin_33726318的博客
12-08 240
自从7月份发布Kubernetes 1.3以来,用户已经能够在其集群中定义和实施网络策略。这些策略是防火墙规则,用于指定允许流入和流出的数据类型。如果需要,Kubernetes可以阻止所有未明确允许的流量。本文针对K8s的网络策略进行介绍并对网络性能进行测试。 网络策略 K8s的网络策略应用于通过常用标签标识的pod组。然后,可以使用标签...
Kubernetes基于namespace实现环境隔离
Java大数据联盟
04-21 3710
Kubernetes基于namespace实现环境隔离1 实现步骤1.1 说明1.2 查看namespace1.3 创建namespace1.4 查看context1.5 查看config1.6 创建context1.7 切换context1.8 创建deployment1.9 检验 1 实现步骤 1.1 说明 namespace:关于 namespace 的说明以及使用细节请见 namesp...
kubernetes-network-policy-recipes:您可以复制粘贴的Kubernetes网络策略的示例配方
02-04
而随着安全性成为关注焦点,Kubernetes网络策略Network Policy)成为了确保应用之间通信安全的重要工具。"kubernetes-network-policy-recipes" 提供了一系列可直接使用的示例,帮助用户更好地理解和实施这些策略。...
Kubernetes(k8s)面试题.pdf
最新发布
05-10
描述Kubernetes网络策略NetworkPolicy)。** NetworkPolicy定义了Pod之间的网络连接规则,用于限制Pod之间或Pod与其他网络实体之间的入站和出站流量。 **27. Rescheduler和Descheduler在Kubernetes中有何作用?...
kubernetes网络分析
11-07
- **网络策略Network Policy)**:允许或阻止特定 Pod 之间的流量,实现安全的网络隔离。 - **DNS 解析**:Kubernetes 集群内置了一个 DNS 服务器,Pod 可以通过服务名直接访问 Service。 - **IPVS 模式**:某些...
k8s 网络通信详解
11-12
不同的网络命名空间中,协议栈是独立的,完全隔离,彼此之间无法通信。同一个网络命名空间有独立的路由表和独立的Iptables/Netfilter来提供包的转发、NAT、IP包过滤等功能。
Kubernetes.docx
01-06
- **安全策略**:包括 PodSecurityPolicyNetworkPolicy 等,用于加强集群的安全性。 #### Kubernetes 最佳实践 1. **使用 Helm**:Helm 是 Kubernetes 的包管理工具,可以帮助开发者高效地管理和部署复杂的 ...
k8s的资源隔离
生有热烈
07-19 3081
namespace做资源隔离 namespace中的标签选择器不会跟其他的namespace关联 所有的k8s附加组件都会在kube-system的namespace资源中,用于跟其他组件区分开. 原理 通过将系统内部的对象“分配”到不同的Namespace中,形成逻辑上分组的不同项目、小组或用户组,便于不同的分组在共享使用整个集群的资源的同时还能被分别管理。 Kubernetes集群在启动后,会创建一个名为“default”的Namespace,通过Kubectl可以查看到。 创建Pod/RC/Ser
八. Kubernetes 名称空间与隔离
qq_29799655的博客
05-22 428
【代码】八. Kubernetes 名称空间与隔离
k8s之多方面多维度的资源隔离和限制(namespace,LimitRange,ResourceQuota)
guijianchouxyz的博客
12-23 1977
首先我们能想到的资源隔离就是namespace,这不知道是不是大家的第一反应,反正我是的,,哈哈哈。当然还有好多可以配置资源的限制以及配额的方法
跟Marko学习k8s--[1..2.1]Linux容器的实现的隔离机制
咸鱼的梦想专栏
07-31 6908
Linux容器的实现的隔离机制 --Linux命名空间,使得每个进程只能看到他自己的系统视图(如文件、进程、网络接口、主机名等),命名空间的类型如:Mount Process ID Network等 --Linux控制组,限制进程使用的资源量(CPU、内存、网络带宽等) ...
【深入剖析K8s】容器技术基础(二):隔离与限制
qq_21438267的博客
10-30 425
在上一篇文章中,我详细介绍了 Linux 容器中用来实现“隔离”的技术手段:Namespace。而通过这些讲解,你应该能够明白,Namespace 技术实际上修改了应用进程看待整个计算机“视图”,即它的“视线”被操作系统做了限制,只能“看到”某些指定的内容。但对于宿主机来说,这些被“隔离”了的进程跟其他进程并没有太大区别。
K8S:容器隔离
weixin_40108561的博客
06-28 625
容器隔离
K8S之网络策略
运维@小兵的博客
12-12 1347
k8s网络策略
Calico网络隔离NetworkPolicy实战
"本文主要探讨了如何利用Calico和KubernetesNetworkPolicy实现租户间的网络隔离,包括Calico的基本介绍、其架构以及NetworkPolicy的详细解析和应用案例。" 在Kubernetes环境中,网络隔离是确保多租户安全性的关键...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值