K8S NetworkPolicy网络策略介绍与实战

最新推荐文章于 2024-05-10 19:00:38 发布
最新推荐文章于 2024-05-10 19:00:38 发布
阅读量1k 收藏 6
点赞数 1
分类专栏: Kubernetes 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34556414/article/details/118175069
版权

网络策略介绍

默认情况下,Kubernetes 集群网络没任何网络限制,Pod 可以与任何其他 Pod 通信,在某些场景下就需要进行网络控制,减少网络攻击面,提高安全性,这就会用到网络策略。

网络策略(Network Policy):是一个K8s资源,用于限制Pod出入流量,提供Pod级别和Namespace级别网络访问控制。

网络策略的应用场景:
• 应用程序间的访问控制,例如项目A不能访问项目B的Pod
• 开发环境命名空间不能访问测试环境命名空间Pod
• 当Pod暴露到外部时,需要做Pod白名单
• 多租户网络环境隔离(多租户指的是,可能有很多公司不同的人,或者不同的团队,或者不同的业务线,或者不同的公司用我们这一个k8s平台,这称之为多租户,比如公有云就是纯多租户环境了)

前置条件 

网络策略通过网络插件 来实现。要使用网络策略,你必须使用支持 NetworkPolicy 的网络解决方案。 创建一个 NetworkPolicy 资源对象而没有控制器来使它生效的话,是没有任何作用的。

使用K8S网络策略有个前提:你的网络组件(CNI)必须支持网络策略,比如flannel是不支持网络策略,calico是支持网络策略的。

上面是在default命名空间下创建网络策略,网络策略分为这几块:

 podSelector是目标pod,也就是基于default命名空间哪组pod去应用网络策略,policyType是进出流量,之后ingress是对进流量的限制,egress是出流量的限制。其实也就是针对标签为role=db这组pod对其进出流量都做限制,进流量172.17.0.0/16这个网端是可以访问的,但是除了172.17.1.0/24不能访问。同时还定义了网络命名空间和哪些标签的pod可以访问我,访问的端口为6379。

同时定义了出流量,针对role=db的pod只能访问10.0.0.0/24的5978这个端口。

所有策略都是交集的,没有优先级之分。

案例1:拒绝命名空间下所有Pod出入站流量

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: deny-all
  namespace: test
spec:
  podSelector: {} # 匹配本命名空间所有pod
  policyTypes: 
  - Ingress
  - Egress
# ingress和egress没有指定规则,则不允许任何
流量进出pod

网络命名空间在哪个namespace下面创建就限制哪个命名空间下的pod 

测试访问外部(拒绝访问): 
kubectl run busybox --image=busybox -n test -- sleep 12h
kubectl exec busybox -n test -- ping baidu.com
测试外部pod访问(拒绝访问): 
kubectl run web --image=nginx -n test
kubectl run busybox --image=busybox -- sleep 12h
kubectl exec busybox -- ping 10.244.169.135
测试内部pod之间访问(拒绝访问): 
kubectl exec busybox -n test -- ping 10.244.169.135

案例2:拒绝其他命名空间Pod访问

需求:test命名空间下所有pod可以互相访问,也可以访问其他命名空间Pod,但其他命名
空间不能访问default命名空间Pod。 
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: deny-all-namespaces 
  namespace: test
spec:
  podSelector: {} 
  policyTypes:
  - Ingress
  ingress:
  - from:
    - podSelector: {} # 匹配本命名空间所有pod


[root@master networkpolicy]# kubectl get networkpolicy -n ms
NAME                  POD-SELECTOR   AGE
deny-all-namespaces   <none>         14s

This rule allows pods in the namespace 'ms' to receive traffic from all pods in the same namespace on all ports

案例3:允许其他命名空间Pod访问指定应用

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-all-namespaces 
  namespace: default
spec:
  podSelector: 
    matchLabels:
      app: web
  policyTypes:
  - Ingress
  ingress:
  - from:
    - namespaceSelector: {}    # 匹配所有命名空间的pod

案例4:同一个命名空间下应用之间限制访问

需求:将标签为run=web的pod隔离,只允许标签为run=client1的pod访问80端口

同一个命名空间下不同项目pod之间访问

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: app-to-app
  namespace: test
spec:
  podSelector:
    matchLabels:
      run: web
  policyTypes:
  - Ingress
  ingress:
  - from:
    - podSelector:
      matchLabels:
        run: client1
ports:
- protocol: TCP
  port: 80

案例5:只允许指定命名空间中的应用访问

需求:只允许指定命名空间中的应用访问和其他所有命名空间指定标签pod访问(注意这里有两个目标)

• 应用策略命名空间在dev,web的pod标签为env=dev
• 允许prod命名空间中的pod访问,及其他命名空间中的pod标签为app=client1的pod访问

命名空间的匹配也是基于标签的 ,所有的匹配都是基于标签的包括命名空间。

[root@master ~]# kubectl get ns --show-labels
NAME                           STATUS   AGE   LABELS
default                        Active   35d   kubesphere.io/namespace=default,kubesphere.io/workspace=system-workspace
ingress-nginx                  Active   22d   app.kubernetes.io/name=ingress-nginx,app.kubernetes.io/part-of=ingress-nginx,kubesphere.io/namespace=ingress-nginx
kube-node-lease                Active   35d   kubesphere.io/namespace=kube-node-lease,kubesphere.io/workspace=system-workspace
kube-public                    Active   35d   kubesphere.io/namespace=kube-public,kubesphere.io/workspace=system-workspace
kube-system                    Active   35d   kubesphere.io/namespace=kube-system,kubesphere.io/workspace=system-workspace
kubesphere-alerting-system     Active   35d   kubesphere.io/namespace=kubesphere-alerting-system,kubesphere.io/workspace=system-workspace
kubesphere-controls-system     Active   35d   kubesphere.io/namespace=kubesphere-controls-system,kubesphere.io/workspace=system-workspace
kubesphere-monitoring-system   Active   35d   kubesphere.io/namespace=kubesphere-monitoring-system,kubesphere.io/workspace=system-workspace
kubesphere-system              Active   35d   kubesphere.io/namespace=kubesphere-system,kubesphere.io/workspace=system-workspace
ms                             Active   16d   kubesphere.io/namespace=ms
openpitrix-system              Active   35d   kubesphere.io/namespace=openpitrix-system,kubesphere.io/workspace=system-workspace

具体实现如下

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: dev-web
  namespace: dev
spec:
  podSelector:
    matchLabels:
      env: dev
  policyTypes:
  - Ingress
  ingress:
  # 满足允许prod命名空间中的pod访问
  - from:
    - namespaceSelector:
      matchLabels:
        env: prod
# 允许pod标签为app=client1的pod访问,所有命名空间
  - from:
    - namespaceSelector: {}
      podSelector:
        matchLabels:
        app: client1

 限制某个命名空间下的某个pod访问

  ingress:
  - from:
    - namespaceSelector:
        matchLabels:
          project: myproject
      podSelector:
        matchLabels:
          role: frontend
    ports:
    - protocol: TCP
      port: 6379
富士康质检员张全蛋
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
kubernetes CKS 1.8 网络访问控制
cloud_engineer的博客
07-19 488
默认情况下,Kubernetes 集群网络没任何网络限制,Pod 可以与任何其他 Pod 通信,在某些场景下就需要进行网络控制, 减少网络攻击面,提高安全性,这就会用到网络策略网络策略Network Policy):是一个K8s资源,用于限制Pod出入流量,提供Pod级别和Namespace级别网络访问控制。 网络策略的应用场景: • 应用程序间的访问控制,例如项目A不能访问项目B的Pod • 开发环境命名空间不能访问测试环境命名空间Pod • 当Pod暴露到外部时,需要做Pod白名单 • 多
Kubernetes(k8s) 网络策略及排错
叮当猫的喵i
09-18 692
文章目录k8s 网络策略k8s 网络故障定位指南IP 转发和桥接IP 转发桥接hairpin查看 pod ip 地址故障排查工具为什么不推荐使用SNAT k8s 网络策略 k8s 网络策略采用了比较严格的单向控制 {} 表示允许所有,[] 表示拒绝所有 # 所有pod允许所有流量进入 apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: allow-all spec: podSelector: {} ingres
k8s学习-网络策略NetworkPolicy(概念、模版、创建、删除等)
m0_54903333的博客
04-26 929
如果你希望在 IP 地址或端口层面(OSI 第 3 层或第 4 层)控制网络流量, 则你可以考虑为集群中特定应用使用 Kubernetes 网络策略NetworkPolicy)。是一种以应用为中心的结构,允许你设置如何允许与网络上的各类网络“实体” (我们这里使用实体以避免过度使用诸如“端点”和“服务”这类常用术语, 这些术语在 Kubernetes 中有特定含义)。NetworkPolicies 适用于一端或两端与 Pod 的连接,与其他连接无关。
Kubernetes 网络策略 NetworkPolicy
Vic的博客
05-26 282
1、 概述 Kubernetes要求集群中所有Pod,无论是节点内还是跨节点,都可以直接通信。默认情况下,集群中所有Pod之间、Pod与节点之间可以互通。网络主要解决两个问题,一个是连通性,实体之间能够通过网络互通。另一个是隔离性,出于安全、限制网络流量的目的,又要控制实体之间的连通性。网络策略NetworkPolicy)用来实现隔离性,只有匹配规则的流量才能进入Pod,同理只有匹配规则的流量才可以离开Pod。NetworkPolicy 资源使用标签选择Pod,并定义选定Pod所允许的通信规则。 但请
Kubernetes——网络策略
lingshengxiyou的博客
04-06 378
Kubernetes网络策略功能由其所使用的网络插件实现,因此,仅在使用那些支持网络策略功能的网络插件时才能够配置网络策略,如 Calico、Canal 及 kube-router 等。每种解决方案各有其特定的网络策略实现方式,它们的实现或依赖于节点自身的功能,或借助于 Hypervisor 的特性,也可能是网络自身的功能。
kubernetes Network Policies(网络策略) 之 限制其他命名空间的pod访问本命名空间的pod
mumucgq的博客
08-15 2065
1、规则描述: 希望达到的效果: 1.命名空间default下的所有pod,可以互相访问 2.禁止非default命名空间下的pod访问default命名空间下的pod 如下图所示: 2、使用镜像准备: 下载Nginx镜像 docker pull nginx 编写Dockerfile(添加wget) FROM nginx RUN apt-get update RUN apt-get instal...
K8S-CKS介绍实战演示
02-07
K8S---CKS介绍实战演示
calico+NetworkPolicy实践
09-27
calico简介 NetworkPolicy简介 租户间网络隔离方案及方案用例测试演示
k8s 实战案例详解手册
03-17
k8s 实战案例详解手册 内容简介: 1、基础集群环境搭建 2、k8s运行机制以及术语 3、运行web服务 4、k8s运维示例 5、持续集成与部署 6、容器监控与报警 7、实战案例
Spark On K8s实战
08-22
给大家分享一套课程——Spark On K8s实战,附源码+文档+集群+虚拟机+软件下载。
K8S云原生技术与实战
05-31
K8S云原生技术与实战
K8S网络策略
运维@小兵的博客
12-12 1290
k8s网络策略
K8S学习指南(29)-k8s网络对象NetworkPolicy
俞兆鹏的博客
12-20 3374
NetworkPolicyKubernetes中用于定义Pod之间网络通信规则的资源对象。通过NetworkPolicy,开发者可以控制哪些Pod可以与另外哪些Pod通信,以及使用何种方式进行通信。这种细粒度的网络控制有助于提高集群的安全性,防止未经授权的访问和通信。
k8s网络策略
梵修
12-10 1417
网络策略是控制Pod之间如何进行通信的规则,它使用标签来筛选Pod,并在该组Pod之上定义规则来定义管控其流量,从而为k8s提供更精细的流量控制和租户隔离机制。管理员和用户可以通过NetworkPolicy资源按需定义网络访问控制策略网络策略的具体实现要依靠CNI网络插件完成,例如Calico、Weave和Antrea等。因此,仅在使用支持网络策略网络插件时才能让自定义的网络策略生效。不同的网络插件实现网络策略的方式也是不一样的。
kubernetes NetworkPolicy(防火墙)
sxpnp的博客
01-09 880
如有问题,以你为准
K8S---NetworkPolicy
qq_41768644的博客
01-18 431
K8S--networkpolicy
Kubernetesk8s)的Network Policies解析
最新发布
专注于数据库技术分享,包含但不限于Oracle,MySQL,PostgreSQL,ElasticSearch及国产数据库等
05-10 530
Kubernetesk8s)的是一种资源对象,用于定义Pod之间的网络通信规则,以此来控制和隔离集群内部的网络流量。这为Kubernetes集群提供了更细粒度的网络安全控制能力。
容器编排之Kubernetes网络隔离NetworkPolicy
Kubernetes中文社区
07-04 6463
Kubernetes的一个重要特性就是要把不同node节点的pod(container)连接起来,无视物理节点的限制。但是在某些应用环境中,比如公有云,不同租户的pod不应该互通,这个时候就需要网络隔离。幸好,Kubernetes提供了NetworkPolicy,支持按Namespace级别的网络隔离,这篇文章就带你去了解如何使用NetworkPolicy。 需要注意的是,使用Network
NetWork Policy网络访问策略
m0_59424504的博客
05-31 228
默认情况下,Kubernetes 集群网络没任何网络限制,Pod 可以与任何其他Pod 通信,在某些场景下就需要进行网络控制,减少网络攻击面,提高安全性,这就会用到网络策略。需求:限制dev命名空间标签为env=dev的pod,只允许prod命名空间中的pod访问和其他所有命名空间app=client1标签pod访问。需求:test命名空间下所有pod可以互相访问,也可以访问其他命名空间Pod,但其他命名空间不能访问test命名空间Pod。示例中的策略选择带有 "role=db" 标签的 Pod。
k8s中的NetworkPolicy
04-04
NetworkPolicy通常用于实现安全策略,例如限制来自不信任的Pod的访问,或者限制特定应用程序的网络访问。它也可以用于优化网络性能,例如限制不必要的流量。 Kubernetes支持两种类型的NetworkPolicy:入站和出站。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值