cilium插件测试_Cilium Network Policy

最新推荐文章于 2023-08-08 09:18:03 发布
最新推荐文章于 2023-08-08 09:18:03 发布
阅读量782 收藏 2
点赞数
文章标签: cilium插件测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_29455479/article/details/112937696
版权
本文详细介绍了Cilium网络插件的第三层配置,包括基于Label、Service、Entities和CIDR的策略示例,以及第四层配置,如端口限制。内容涵盖入口和出口策略,展示了如何控制不同endpoint间的通信,以及对外部服务的访问策略。
摘要由CSDN通过智能技术生成

一、第三层配置示例

1. 基于Label的策略

使用busybox启动三个pod:box-a,box-b,box-c,测试a->b,c->b联通性

入口策略

配置基于label的策略:只允许a->b

apiVersion: "cilium.io/v2"

kind: CiliumNetworkPolicy

metadata:

name: "a-to-b-allow"

spec:

endpointSelector:

matchLabels:

app: box-b

ingress:

- fromEndpoints:

- matchLabels:

app: box-a

以上配置使用了简单的入口规则来允许带有标签app=box-a的endpoint到带有标签app=box-b的endpoint的通信,其他的默认拒绝。即:b只允许a的流量通过,其他拒绝

配置允许所有的endpoints到app=box-b的通信

apiVersion: "cilium.io/v2"

kind: CiliumNetworkPolicy

metadata:

name: "all-to-b-allow"

spec:

endpointSelector:

matchLabels:

app: box-b

ingress:

- fromEndpoints:

- {}

配置拒绝所有的endpoints到app=box-b的通信

apiVersion: "cilium.io/v2"

kind: CiliumNetworkPolicy

metadata:

name: "all-to-b-deny"

spec:

endpointSelector:

matchLabels:

app: box-b

ingress:

- {}

出口策略

配置基于label的策略,b只能到a

apiVersion: "cilium.io/v2"

kind: CiliumNetworkPolicy

metadata:

name: "a-from-b-allow"

spec:

endpointSelector:

matchLabels:

app: box-b

egress:

- toEndpoints:

- matchLabels:

app: box-a

配置允许app=box-b到所有的endpoints的通信

apiVersion: "cilium.io/v2"

kind: CiliumNetworkPolicy

metadata:

name: "a-from-b-allow"

spec:

endpointSelector:

matchLabels:

app: box-b

egress:

- toEndpoints:

- {}

配置拒绝app=box-b到所有的endpoints的通信

apiVersion: "cilium.io/v2"

kind: CiliumNetworkPolicy

metadata:

name: "a-from-b-allow"

spec:

endpointSelector:

matchLabels:

app: box-b

egress:

- {}

2. 基于Service的策略

配置允许app=h

最低0.47元/天 解锁文章
李呈祥
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
cilium插件测试_Cilium网络概述
weixin_39839162的博客
12-20 329
K8s已经成为一线大厂分布式平台的标配技术。你是不是还在惆怅怎么掌握它?来这里,大型互联网公司一线工程师亲授,不来虚的,直接上手实战,3天时间带你搭建K8s平台,快速学会K8s,点击下方图片可了解培训详情。Cilium是一种开源网络实现方案,与其他网络方案不同的是,Cilium着重强调了其在网络安全上的优势,可以透明的对Kubernetes等容器管理平台上的应用程序服务之间的网络连接进行...
cilium-testings:使用Cilium进行调查和测试
04-01
纤毛测试 目标 该项目旨在研究Cilium的工作方式,以及如何将其与Junos cRPD集成。 测试基础架构 测试基础结构是具有2 * 10 CPU / 256G内存的基本服务器,在该服务器上部署了一组虚拟机。 使用ubuntu Focus进行基本节点配置 root@5b11s15:~# cat /etc/os-release NAME="Ubuntu" VERSION="20.04.1 LTS (Focal Fossa)" ID=ubuntu 通过快照安装多通道虚拟机实例化 apt install snapd -y snap install multipass 启动3个Ubuntu VM multipass launch -n ubuntu1 --cpus 6 --mem 8G --disk 30G multipass launch -n ubuntu2 --cpus 6 --me
cilium系列之一:安装并配置cilium
李炜伦的博客
09-16 9834
cilium可以在内核转发和过滤数据包,可以解决现有的kube-proxy性能问题,这是有关介绍链接http://dockone.io/m/article/10046 现在主要的问题不仅在于网络是underlay还是overlay,也在于networkpolicy
使用 Cilium 增强 Kubernetes 网络安全
hanfengzxh的博客
02-13 3727
TL;DR 在本篇,我们分别使用了 Kubernetes 原生的网络策略和 Cilium 的网络策略实现了 Pod 网络层面的隔离。不同的是,前者只提供了基于 L3/4 的网络策略;后者支持 L3/4、L7 的网络策略。 通过网络策略来提升网络安全,可以极大降低了实现和维护的成本,同时对系统几乎没有影响。 尤其是基于 eBPF 技术的 Cilium,解决了内核扩展性不足的问题,从内核层面为工作负载提供安全可靠、可观测的网络连接。 背景 为什么说 Kubernetes 网络存在安全隐患?集群中的 Pod 默.
Cilium系列-14-Cilium NetworkPolicy 简介
east4ming的博客
08-06 409
今天我们进入 Cilium 安全相关主题, 介绍 Kubernetes 网络策略以及 CiliumNetworkPolicies 额外支持的内容。今天我们进入 Cilium 安全相关主题, 介绍 Kubernetes 网络策略以及 CiliumNetworkPolicies 额外支持的内容。介绍了一款好用的可视化 NetworkPolicy 编辑器: <networkpolicy.io>. 同时通过一个实用的"租户隔离"网络策略需求来进行演示.三人行, 必有我师;知识共享, 天下为公.
Cilium系列-15-7层网络CiliumNetworkPolicy简介
east4ming的博客
08-07 442
今天我们进入 Cilium 安全相关主题, 介绍 CiliumNetworkPolicies 相比于 Kubernetes 网络策略最大的不同: 7 层网络策略能力.今天我们进入 Cilium 安全相关主题, 介绍 CiliumNetworkPolicies 相比于 Kubernetes 网络策略最大的不同: 7 层网络策略能力.L7 策略基于 L4 策略扩展而来, 增加了toPorts字段. 并提供了 HTTP DNS Kakfa 的 L7 策略示例.
cilium:基于eBPF的网络,安全性和可观察性
02-02
此外,Cilium还支持Kubernetes的NetworkPolicy API,使得网络策略可以通过声明式的方式进行管理。 三、网络可观察性 Cilium通过eBPF收集丰富的网络元数据,包括流量统计、调用图、错误日志等,这些数据可以实时地...
k8s配置网络插件.zip
06-08
这些高级插件提供了更精细的网络控制和更好的性能,例如支持网络策略(Network Policy)和更高效的隧道技术。 在Kubernetes集群中配置网络插件的流程通常如下: 1. **准备环境**:确保所有Kubernetes节点已经正确...
Kubernetes插件扩展技术介绍.pdf
10-11
Kubernetes的网络策略(NetworkPolicy)允许定义Pod之间的网络访问规则,Ingress控制器则用于管理外部网络对内部服务的访问。常见的Ingress控制器有minikube、Traefik和Keepalived-VIP。 ### 8. 云提供商扩展 云...
cyclonus:在Kubernetes中有效理解,衡量和应用网络策略的工具
03-14
网络策略解释器,探测器和测试用例生成器 解析,解释和探查网络策略,以了解其含义并帮助设计适合您需求的策略! 快速开始 获取以开始使用Cyclonus。 作为kubernetes作业运行 看一下: ls hack antrea calico ...
cyclonus-artifacts:Cyclonus项目的文物
04-04
结果在我们测试的所有CNI中,Antrea和Calico具有最佳的NetworkPolicy一致性。 Cillium正在Swift追赶,并正在与我们积极合作以解决分歧。 在出口附近,印花布遗漏了一些较小的出口案例。 有趣的是,到目前为止,这是...
cilium插件测试_Cilium使用 (Cilium 3)
weixin_35959421的博客
01-17 778
使用k3s测试Cilium,安装步骤可以参见官方文档Cilium安装使用docker安装使用如下命令安装最新版本的dockeryum install -y yum-utils \device-mapper-persistent-data \lvm2yum-config-manager \--add-repo \https://download.docker.com/linux/centos/doc...
Cilium系列-16-CiliumNetworkPolicy 实战演练
east4ming的博客
08-08 459
今天我们进入 Cilium 安全相关主题, 基于 Cilium 官方的《星球大战》 Demo 做详细的 CiliumNetworkPolicy 实战演练。暂且抛开《星球大战》的奇思妙想不谈,本次实战演练展示的是一种编写 CiliumNetworkPolicy 的方法,可帮助确保在集群内运行的 pod 之间的访问安全。你可以使用 CiliumNetworkPolicy 根据预期的工作负载行为(编码为标签元数据)建立合理的限制,而不是隐式地信任 pod 可以完全访问集群中对等 pod 公开的所有服务。
Kubernetes 最强云原生网络组件 Cilium 常用故障排查中文指南
easylife206的专栏
12-22 833
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !我是 LEE,老李,一个在 IT 行业摸爬滚打 16 年的技术老兵。事件背景最近不少 k8s 底层网络模块都从 kubenet 升级到了 ciliumcilium 还是相对比较易用的,就是运维、监控和报警方案需要花点时间来适应。但是最近我们有一组 k8s 结构比较特殊,导致它在从 kubenet 升级到 cil...
【谐云课堂】Cilium 流量治理功能与部署实践
HarmonyCloud_的博客
07-01 661
本期课堂由谐云研发工程师叶元鹏作为讲师,带来《Cilium 流量治理功能概述及部署实践》分享,围绕Cilium进行了详细介绍,并对其组件、安装方式及路径功能等进行了深入讲解。01 Cilium 概述Cilium是一个具备API感知的网络和安全的开源软件,用于透明保护使用Docker和Kubernetes等Linux容器管理平台部署的应用程序服务之间的网络连接。Cilium的基础是一种称为BPF的新Linux内核技术,该技术可在Linux自身内部动态插入强大的安全可见性和控制逻辑。由于BPF在Linux内核中
Kubernetes网络安全之访问控制技术实践
Docker的专栏
05-23 990
&#13; &#13; &#13; &#13; &#13; &#13; &#13; 在企业内使用Kubernetes,对部署在Kubernetes上的应用做访问控制是比较基本的安全需求...
农牧集团企业数字化建设总体规划SAP解决方案参考.pdf
最新发布
08-17
农牧集团企业数字化建设总体规划SAP解决方案参考.pdf
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值