Kubernetes - 实战：k8s之Calico网络策略

在Kubernetes实战中，Calico网络策略是用于管理集群内Pod间网络通信的重要工具，它基于Kubernetes的NetworkPolicy资源对象，提供了更细粒度的网络访问控制。

以下是如何在Kubernetes集群中使用Calico网络策略进行实战操作：

1. 安装和配置Calico网络插件

确保已安装Calico网络插件并在集群中启用网络策略功能。对于新集群，可以通过kube-apply命令应用Calico的YAML配置文件来安装。例如，你可以从Calico官方文档下载最新版本的安装清单文件，并执行以下命令：

kubectl apply -f https://docs.projectcalico.org/manifests/calico.yaml

2. 创建网络策略资源

定义网络策略资源，以控制Pod之间的网络访问规则。以下是一个简单的Calico网络策略示例，允许从同一个命名空间中标签为role=frontend的Pod访问标签为role=backend的Pod：

apiVersion: projectcalico.org/v3
kind: NetworkPolicy
metadata:
  name: allow-backend-access
  namespace: default
spec:
  selector: role == 'backend'
  types:
  - Ingress
  ingress:
  - from:
    - namespaceSelector: role == 'frontend'
      podSelector: role == 'frontend'
    ports:
    - protocol: TCP
      port: 8080

• 上述策略表示，任何从default命名空间中标签role=frontend的Pod发送到role=backend标签的Pod的TCP 8080端口的流量都将被允许。

3. 应用网络策略

将网络策略YAML文件应用到集群中：

kubectl apply -f network-policy.yaml

4. 验证网络策略效果

创建或使用已有的Pod，并确保它们的标签与网络策略匹配。然后尝试从匹配策略的源Pod访问目标Pod，观察通信是否受到策略的控制。

5. 日常维护和调试

• 使用kubectl describe networkpolicy命令查看网络策略详情。
• 使用kubectl get networkpolicies列出所有网络策略资源。
• 当发现网络访问异常时，可以审查网络策略配置，排查是否有误配或遗漏的规则。

通过以上实战操作，我们可以看到Calico网络策略在Kubernetes集群中发挥的作用，帮助我们更有效地管理Pod间的网络通信，提升了集群的安全性和可控性。