cilium插件测试_Cilium Network Policy

最新推荐文章于 2024-03-28 15:26:03 发布
最新推荐文章于 2024-03-28 15:26:03 发布
阅读量766 收藏 2
点赞数
文章标签: cilium插件测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_29455479/article/details/112937696
版权

一、第三层配置示例

1. 基于Label的策略

使用busybox启动三个pod:box-a,box-b,box-c,测试a->b,c->b联通性

入口策略

配置基于label的策略:只允许a->b

apiVersion: "cilium.io/v2"

kind: CiliumNetworkPolicy

metadata:

name: "a-to-b-allow"

spec:

endpointSelector:

matchLabels:

app: box-b

ingress:

- fromEndpoints:

- matchLabels:

app: box-a

以上配置使用了简单的入口规则来允许带有标签app=box-a的endpoint到带有标签app=box-b的endpoint的通信,其他的默认拒绝。即:b只允许a的流量通过,其他拒绝

配置允许所有的endpoints到app=box-b的通信

apiVersion: "cilium.io/v2"

kind: CiliumNetworkPolicy

metadata:

name: "all-to-b-allow"

spec:

endpointSelector:

matchLabels:

app: box-b

ingress:

- fromEndpoints:

- {}

配置拒绝所有的endpoints到app=box-b的通信

apiVersion: "cilium.io/v2"

kind: CiliumNetworkPolicy

metadata:

name: "all-to-b-deny"

spec:

endpointSelector:

matchLabels:

app: box-b

ingress:

- {}

出口策略

配置基于label的策略,b只能到a

apiVersion: "cilium.io/v2"

kind: CiliumNetworkPolicy

metadata:

name: "a-from-b-allow"

spec:

endpointSelector:

matchLabels:

app: box-b

egress:

- toEndpoints:

- matchLabels:

app: box-a

配置允许app=box-b到所有的endpoints的通信

apiVersion: "cilium.io/v2"

kind: CiliumNetworkPolicy

metadata:

name: "a-from-b-allow"

spec:

endpointSelector:

matchLabels:

app: box-b

egress:

- toEndpoints:

- {}

配置拒绝app=box-b到所有的endpoints的通信

apiVersion: "cilium.io/v2"

kind: CiliumNetworkPolicy

metadata:

name: "a-from-b-allow"

spec:

endpointSelector:

matchLabels:

app: box-b

egress:

- {}

2. 基于Service的策略

配置允许app=h

最低0.47元/天 解锁文章
李呈祥
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
cilium插件测试_Cilium使用 (Cilium 3)
weixin_35959421的博客
01-17 763
使用k3s测试Cilium,安装步骤可以参见官方文档Cilium安装使用docker安装使用如下命令安装最新版本的dockeryum install -y yum-utils \device-mapper-persistent-data \lvm2yum-config-manager \--add-repo \https://download.docker.com/linux/centos/doc...
K8S 生态周报| Cilium 新版本发布默认开启 ICMP 策略防护
k8s 生态
07-11 227
“「K8S 生态周报」内容主要包含我所接触到的 K8S 生态相关的每周值得推荐的一些信息。欢迎订阅知乎专栏「k8s生态」[1]。”大家好,我是张晋涛。你有没有考虑过,也许作为工程师,我们的设备可以更简单?最近两周我进行了一些不开电脑的尝试。尤其是本周,我的大多数工作都是用 iPad 完成的。具体而言,在写代码和测试方面,我使用了 GitHub 的 Codespaces, ...
Cilium系列-14-Cilium NetworkPolicy 简介
east4ming的博客
08-06 377
今天我们进入 Cilium 安全相关主题, 介绍 Kubernetes 网络策略以及 CiliumNetworkPolicies 额外支持的内容。今天我们进入 Cilium 安全相关主题, 介绍 Kubernetes 网络策略以及 CiliumNetworkPolicies 额外支持的内容。介绍了一款好用的可视化 NetworkPolicy 编辑器: <networkpolicy.io>. 同时通过一个实用的"租户隔离"网络策略需求来进行演示.三人行, 必有我师;知识共享, 天下为公.
使用 Cilium 增强 Kubernetes 网络安全
最新发布
2401_83699724的博客
03-28 763
在本篇,我们分别使用了 Kubernetes 原生的网络策略和 Cilium 的网络策略实现了 Pod 网络层面的隔离。
Cilium系列-15-7层网络CiliumNetworkPolicy简介
east4ming的博客
08-07 392
今天我们进入 Cilium 安全相关主题, 介绍 CiliumNetworkPolicies 相比于 Kubernetes 网络策略最大的不同: 7 层网络策略能力.今天我们进入 Cilium 安全相关主题, 介绍 CiliumNetworkPolicies 相比于 Kubernetes 网络策略最大的不同: 7 层网络策略能力.L7 策略基于 L4 策略扩展而来, 增加了toPorts字段. 并提供了 HTTP DNS Kakfa 的 L7 策略示例.
cilium系列之一:安装并配置cilium
李炜伦的博客
09-16 9642
cilium可以在内核转发和过滤数据包,可以解决现有的kube-proxy性能问题,这是有关介绍链接http://dockone.io/m/article/10046 现在主要的问题不仅在于网络是underlay还是overlay,也在于networkpolicy
kubernetes 使用cilium 网络插件 替换kube-proxy
02-10
Cilium 出现之前, Service 由 kube-proxy 来实现,实现方式有 userspace,iptables,ipvs 三种模式。 Cilium 是基于 eBpf 的一种开源网络实现,通过在 Linux 内核动态插入强大的安全性、可见性和网络控制逻辑,...
kind-cilium-tutorial
04-02
带有cilium cni插件的同类HA K8s集群。预先要求码头工人转到1.11+准备安装: $ GO111MODULE= " on " go get sigs.k8s.io/kind@v0.10.0 安装 : $ curl -LO " https://dl.k8s.io/release/ $( curl -L -s ...
cilium-testings:使用Cilium进行调查和测试
04-01
该项目旨在研究Cilium的工作方式,以及如何将其与Junos cRPD集成。 测试基础架构 测试基础结构是具有2 * 10 CPU / 256G内存的基本服务器,在该服务器上部署了一组虚拟机。 使用ubuntu Focus进行基本节点配置 root@...
extra-cilium-metrics:Prometheus格式的额外Cilium指标的导出器
04-14
Prometheus格式的额外Cilium指标的导出器。 extra-cilium-metrics的目的是提供未提供的额外cilium指标。 我们根据其对我们的有用性来挑选额外的指标。 它们的数据由Cilium API提供,但未作为Prometheus指标公开。 ...
cilium.tgz
12-04
cilium.tgz
Cilium系列-16-CiliumNetworkPolicy 实战演练
east4ming的博客
08-08 394
今天我们进入 Cilium 安全相关主题, 基于 Cilium 官方的《星球大战》 Demo 做详细的 CiliumNetworkPolicy 实战演练。暂且抛开《星球大战》的奇思妙想不谈,本次实战演练展示的是一种编写 CiliumNetworkPolicy 的方法,可帮助确保在集群内运行的 pod 之间的访问安全。你可以使用 CiliumNetworkPolicy 根据预期的工作负载行为(编码为标签元数据)建立合理的限制,而不是隐式地信任 pod 可以完全访问集群中对等 pod 公开的所有服务。
【谐云课堂】Cilium 流量治理功能与部署实践
HarmonyCloud_的博客
07-01 649
本期课堂由谐云研发工程师叶元鹏作为讲师,带来《Cilium 流量治理功能概述及部署实践》分享,围绕Cilium进行了详细介绍,并对其组件、安装方式及路径功能等进行了深入讲解。01 Cilium 概述Cilium是一个具备API感知的网络和安全的开源软件,用于透明保护使用Docker和Kubernetes等Linux容器管理平台部署的应用程序服务之间的网络连接。Cilium的基础是一种称为BPF的新Linux内核技术,该技术可在Linux自身内部动态插入强大的安全可见性和控制逻辑。由于BPF在Linux内核中
Kubernetes网络安全之访问控制技术实践
Docker的专栏
05-23 963
&#13; &#13; &#13; &#13; &#13; &#13; &#13; 在企业内使用Kubernetes,对部署在Kubernetes上的应用做访问控制是比较基本的安全需求...
Cilium 1.11:服务网格的未来已来
猫头虎:授渔优于赠鱼,兴趣引领智慧,探索之乐尤显珍贵。商务合作:Libin9iOak,共赴知识与乐趣的探索之旅!
09-19 237
Cilium 1.11测试版(Beta)为你带来了一系列引人注目的功能和增强功能,包括OpenTelemetry支持、感知拓扑的负载均衡、Kubernetes APIServer策略匹配,以及更多功能。本文将为您详细介绍这个令人振奋的版本,以及它为现代应用程序网络安全和性能带来的突破。Cilium 是一个开源软件,为基于 Kubernetes 的 Linux 容器管理平台上部署的服务,透明地提供服务间的网络和 API 连接及安全。
cilium插件测试_[译] 基于 Envoy、Cilium 和 eBPF 实现透明的混沌测试(2019)
weixin_42323064的博客
01-14 878
[译] 基于 Envoy、Cilium 和 eBPF 实现透明的混沌测试(2019)Published at 2019-06-02 | Last Update 2019-06-04译者序本文内容来自 2019 年的一个技术分享 Transparent Chaos Testing with Envoy, Ciliumand eBPF,演讲嘉宾是 Cilium 项目的创始人和核心开发者,演讲为英文。本...
cilium系列之二:深入理解cilium的伪装功能Masquerading
李炜伦的博客
12-01 1079
周日的时候几乎通宵,就倒在了cilium的伪装功能上,这个伪装功能就相当于pod的snat作用,以前这个工作在iptables完成的,现在cilium提供ebpf的实现,效率高了很多。 在–set tunnel:disabled直接路由模式下,只对native-routing-cidr的直接路由段不进行伪装。一般我们设置就是kubernetes宿主机的网段 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值