Calico网络策略

最新推荐文章于 2024-05-06 21:45:00 发布
最新推荐文章于 2024-05-06 21:45:00 发布
阅读量1.2k 收藏
点赞数
分类专栏: Kubernetes 文章标签: calico网络策略 calico 网络策略
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010039418/article/details/121519616
版权

注:本文基于Calico v3.20.1版本编写

1 calico网络策略

相比于k8s网络策略,calico网络策略对其进行了扩展,能支持更多的功能,比如可以对流量进行allow, deny, log, pass,而在k8s网络策略中只能对匹配的流量进行allow,而deny只能通过default的方式,灵活度不够。

2 deny所有pod的流量互通

和k8s网络策略一样,我们也先将所有pod的流量禁止掉,作为一个default行为。

应用calico网络策略前,记得先把k8s网络策略删除,虽然两者可以混合使用,但是为了比较直观了解功能,我们仅部署calico网络策略。

kubectl delete networkpolicy --all

我们依然针对default namespace来说明,

apiVersion: projectcalico.org/v3
kind: NetworkPolicy
metadata:
  name: default-deny
  namespace: default
spec:
  selector: all()
  types:
  - Ingress
  - Egress

和k8s策略相比,主要有两个不同,

  • api使用的是calico接口
  • 选择器使用的是selector,相比于k8s的podSelector,适用范围更广

由于使用的是calico接口,因此我们创建该网络策略时需要使用calicoctl命令,而不是kubectl,不然就会无法识别该资源,

[root@master network-policy]# kubectl apply -f default-deny.yml 
error: unable to recognize "default-deny.yml": no matches for kind "NetworkPolicy" in version "projectcalico.org/v3"
[root@master network-policy]# calicoctl apply -f default-deny.yml 
Successfully applied 1 'NetworkPolicy' resource(s)
[root@master network-policy]# calicoctl get networkpolicy
NAME           
default-deny

我们在default namespace下创建两个pod,做个ping测试,

[root@master ~]# kubectl get pod -o wide
NAME                      READY   STATUS    RESTARTS   AGE   IP               NODE    NOMINATED NODE   READINESS GATES
centos-6dc54              1/1     Running   2          45d   10.244.166.187   node1   <none>           <none>
centos-tsh95              1/1     Running   1          45d   10.244.104.29    node2   <none>           <none>
[root@centos-6dc54 /]# ping 10.244.104.29
PING 10.244.104.29 (10.244.104.29) 56(84) bytes of data.
^C
--- 10.244.104.29 ping statistics ---
2 packets transmitted, 0 received, 100% packet loss, time 1001ms

可见,deny策略是有生效的。

3 开启与某个pod的互通

将上面两个pod打上标签

[root@master network-policy]# kubectl label pod centos-6dc54 color=green
pod/centos-6dc54 labeled
[root@master network-policy]# kubectl label pod centos-tsh95 color=yellow
pod/centos-tsh95 labeled
[root@master network-policy]# kubectl get pod --show-labels
NAME                      READY   STATUS    RESTARTS   AGE     LABELS
centos-6dc54              1/1     Running   1          24d     app=centos,color=green,controller-revision-hash=69f7b95f44,pod-template-generation=1
centos-tsh95              1/1     Running   1          24d     app=centos,color=yellow,controller-revision-hash=69f7b95f44,pod-template-generation=1

和之前一样,因为两个pod在同一个命名空间,因此两个pod都需要开放网络策略,

kind: NetworkPolicy
apiVersion: projectcalico.org/v3
metadata:
  name: allow-same-namespace-green
  namespace: default
spec:
  selector: color == 'green'

  ingress:
  - action: Allow
    protocol: TCP
    source:
      selector: color == 'yellow'

  egress:
  - action: Allow
    protocol: TCP
    source:
      selector: color == 'green'
    destination:
      ports:
        - 9999

kind: NetworkPolicy
apiVersion: projectcalico.org/v3
metadata:
  name: allow-same-namespace-yellow
  namespace: default
spec:
  selector: color == 'yellow'

  ingress:
  - action: Allow
    protocol: TCP
    source:
      selector: color == 'green'
    destination:
      ports:
        - 9999

  egress:
  - action: Allow
    protocol: TCP
    source:
      selector: color == 'yellow'

这时候我们测试ping,会发现还是不通,但是通过tcp连接是通的,因为只针对TCP进行了放行。

[root@centos-6dc54 /]# ping 10.244.104.29
PING 10.244.104.29 (10.244.104.29) 56(84) bytes of data.
^C
--- 10.244.104.29 ping statistics ---
2 packets transmitted, 0 received, 100% packet loss, time 1000ms

[root@centos-6dc54 /]# nc 10.244.104.29 9999

ls
hi
^C

4 calico与k8s网络策略的差异

  • api接口不同
  • calico支持更多action,比如Deny, Log, Pass
  • calico支持支持更多协议匹配,比如ICMP,以及1-255的协议
  • calico支持policy优先级
  • calico支持更丰富的selector,比如namespaceSelector,serviceAccounts等
  • calico支持更广的对象,除了pod,还能应用在VM和host interfaces上

参考文档:

  1. https://docs.projectcalico.org/reference/resources/networkpolicy
  2. https://projectcalico.docs.tigera.io/reference/resources/networkpolicy
  3. https://docs.projectcalico.org/security/calico-network-policy
Blue summer
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
kubernetes网络插件-calico
01-12
2. **网络策略**:Calico 提供了细粒度的网络访问控制,允许管理员定义基于CIDR、IP地址、命名空间甚至标签的网络策略,确保了服务的安全隔离。 3. **IPv6支持**:除了IPv4,Calico也支持IPv6,使得在双栈环境中的...
安装 kubernetes 网络组件-Calico
06-18
Calico 是一种流行且高效的选择,用于在 Kubernetes 中实现网络策略网络虚拟化。下面将详细介绍如何安装和配置 Calico 作为 Kubernetes 的网络组件。 首先,理解 Calico 的核心概念是必要的。Calico 提供了容器...
Kubernetes (九) calico网络策略
BJZX_OL的博客
01-12 877
一. calico简介官网链接:二. 安装步骤下载部署文件仓库新创建项目下载所需镜像并上传到仓库下载后将上面文件涉及镜像路径都改为仓库地址运行calico网络插件删除flannel网络插件删除所有节点的cni配置文件,避免与calico冲突重建pod,检测ip分配 并测试网络即可三. 网络策略官方地址:网络策略 | Kubernetes。
Calico网络策略原理
Blue summer的博客
12-23 1218
注:本文基于Calico v3.20.1版本编写 1 calico支持网络策略的基础 calico网络插件中,所有pod的网络设备并没有像flannel一样连接到网桥docker0上,这样每个pod的网络都有独立的链路,而这就是支持网络策略的基础。如果都连接到网桥,那所有pod都互通,并且没有办法做隔离。
k8s使用calico网络插件时,Nodeport 仅在指定节点暴露端口+防火墙策略配置方法
最新发布
weixin_44670774的博客
05-06 703
我们使用k8s的网络插件是calico时,可以通过calico的扩展功能来完成 Nodeport 仅在指定节点暴露端口以及针对整个k8s集群内节点的防火墙设置。
Kubernetes_容器网络_Calico_05_Calico网络解决方案和高级特性
毛毛的专栏
02-05 1158
Calico的两种模式
calico网络策略
qq_26572567的博客
03-03 718
关于优先级order: 为了与 Kubernetes 兼容,Calico 网络策略执行遵循 Kubernetes pod 的标准约定: 如果没有网络策略适用于 Pod,则允许所有进出该 Pod 的流量。 如果一个或多个网络策略应用于类型为 ingress 的 pod,则仅允许这些策略明确允许的入口流量。 如果一个或多个网络策略应用于类型为 egress 的 pod,则仅允许这些策略明确允许的出口流量。 对于其他端点类型(VM、主机接口),默认行为是拒绝流量。即使没有网络策略应用于端点,也只允许网
【云原生、k8s】Calico网络策略
2302_77582029的博客
08-17 1471
【云原生、k8s】Calico网络策略
Calico 网络策略深度解析
云原生实验室
03-14 1923
本文主要探讨 Calico 项目如何实现 Kubernetes 的网络策略(Network Policy)。网络策略是一种以应用为中心的结构,设置规则来指定 Pod 如何与各类网络“实体”...
Kubernetes - 实战:k8s之Calico网络策略
qq_33240556的博客
04-16 486
在Kubernetes实战中,Calico网络策略是用于管理集群内Pod间网络通信的重要工具,它基于Kubernetes的NetworkPolicy资源对象,提供了更细粒度的网络访问控制。
Calico插件之网络策略实践
demonlamei的博客
03-01 377
Calico和Flannel有一个比较重要的区别是Calico支持网络策略,可以针对pod配置严格的网络策略
kubernetes 网络之 flannel 与 calico
06-19
Kubernetes是Google开源的一个容器编排引擎,它支持自动化部署、大规模可伸缩、应用容器化管理。... Calico网络策略的高级使用场景,比如限制到k8s节点的流量及高并发流量的旁路等。 ? 6. Flannel网络的迁移及和ca
calico容器镜像
05-21
通过使用Calico网络策略,用户可以定义哪些容器可以与哪些容器通信,甚至可以精确到端口级别。这种强大的策略模型有助于提高安全性,防止未授权的访问,并实现微服务间的安全隔离。 Calico的安装通常涉及到以下步骤...
calico-3.26.1
04-19
Calico 是一个开源的网络网络策略项目,主要用于 Kubernetes (K8s) 集群。它提供了高性能的网络连接和强大的网络策略控制,使容器内的应用能够在集群中安全地通信。Calico 的核心功能包括网络插件、网络策略、以及...
k8s使用本地镜像
热门推荐
Blue summer的博客
01-21 4万+
背景 在机器上使用Dockerfile,打包了自己的镜像,但是没有push到仓库里,想本地直接通过k8s测试一下,但是通过yaml文件创建rc后,一直显示镜像拉取错误。从describe的信息看,k8s一直从远端拉取。 [root@CentOS-7-2 /home/k8s]# kubectl describe pod myweb-2959s ...... 58s 25s 2 {kubele...
K8S集群搭建——基于CentOS 7系统
Blue summer的博客
05-15 2万+
环境准备 集群数量此次使用3台CentOS 7系列机器,分别为7.3,7.4,7.5 节点名称 节点IP master 192.168.0.100 node1 192.168.0.101 node2 192.168.0.102 主要事项 1、master节点安装etcd服务,作为k8s集群主数据库,保存所有资源的信息 2、所有节点安装k8s服务,针对master和nod...
使用helm部署ingress-nginx
Blue summer的博客
09-26 5914
使用helm安装ingress-nginx helm install stable/nginx-ingress --set controller.hostNetwork=true,rbac.create=true -n nginx-ingress --namespace ingress-nginx 安装后查看服务状态, [root@CentOS-7-4 /home/k8s]# kubectl g...
K8S Calico网络插件之BGP模式
Blue summer的博客
10-17 5509
注:本文基于K8S v1.21.2版本编写 1 切换到BGP模式 因为按照官网的配置文件部署calico时,默认使用的是IPIP模式,如果需要使用BGP模式,就要做一些修改。 主要有两种方式, 修改IPPool中的ipipMode为Never,也就是禁用IPIP模式 [root@master home]# kubectl edit ippool ipipMode: Never 也可以使用calicoctl或者kubectl命令修改, [root@master home]# kubectl get
k8s部署calico网络
05-28
要在 Kubernetes 集群上部署 Calico 网络,可以按照以下步骤进行操作: 1. 在 Kubernetes 集群上安装 Calico CNI 插件。可以使用以下命令: ``` kubectl apply -f https://docs.projectcalico.org/v3.20/manifests/calico.yaml ``` 2. 等待 Calico 插件部署完成。可以使用以下命令检查 Calico 插件的状态: ``` kubectl get pods -n kube-system -l k8s-app=calico-node ``` 如果所有的 Calico 节点都处于 `Running` 状态,那么插件已经成功部署。 3. 配置 Calico 网络策略。可以使用以下命令启用 Calico 网络策略: ``` kubectl apply -f https://docs.projectcalico.org/v3.20/manifests/calico-network-policy.yaml ``` 等待 Calico 网络策略部署完成。 4. 部署测试 Pod 进行测试。可以使用以下 YAML 文件创建一个测试 Pod: ``` apiVersion: v1 kind: Pod metadata: name: test-pod spec: containers: - name: test-container image: nginx ports: - containerPort: 80 ``` 使用以下命令创建测试 Pod: ``` kubectl apply -f test-pod.yaml ``` 等待测试 Pod 运行并验证是否可以访问它。 这样就完成了在 Kubernetes 集群上部署 Calico 网络的过程。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值