kubernetes network policy学习笔记

最新推荐文章于 2024-04-24 14:12:02 发布
最新推荐文章于 2024-04-24 14:12:02 发布
阅读量392 收藏
点赞数
文章标签: 网络 运维
原文链接:https://segmentfault.com/a/1190000012692009
版权

简介

network policy顾名思义就是对pod进行网络策略控制。 k8s本身并不支持,因为k8s有许多种网络的实现方式,企业内部可以使用简单的flannel、weave、kube-router等,适合公有云的方案则有calico等。不同的网络实现原理(vethpair、bridge、macvlan等)并不能统一地支持network policy。

network policy 策略模型

使用network policy资源可以配置pod的网络,networkPolicy是namespace scoped的,他只能影响某个namespace下的pod的网络出入站规则。

  • metadata 描述信息
  • podSelector pod选择器,选定的pod所有的出入站流量要遵循本networkpolicy的约束
  • policyTypes 策略类型。包括了Ingress和Egress,默认情况下一个policyTypes的值一定会包含Ingress,当有egress规则时,policyTypes的值中会包含Egress
  • ingress 入站
  • egress 出站

策略模型可以参考官方文档, 这里举个例子:

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: test-network-policy
  namespace: default
spec:
  podSelector:
    matchLabels:
      role: db
  policyTypes:
  - Ingress
  - Egress
  ingress:
  - from:
    - ipBlock:
        cidr: 172.17.0.0/16
        except:
        - 172.17.1.0/24
    - namespaceSelector:
        matchLabels:
          project: myproject
    - podSelector:
        matchLabels:
          role: frontend
    ports:
    - protocol: TCP
      port: 6379
  egress:
  - to:
    - ipBlock:
        cidr: 10.0.0.0/24
    ports:
    - protocol: TCP
      port: 5978

该例子的效果如下:
1、default namespace下label包含role=db的pod,都会被隔绝,他们只能建立“满足networkPolicy的ingress和egress描述的连接”。即2-5点:
2、所有属于172.17.0.0/16网段的IP,除了172.17.1.0/24中的ip,其他的都可以与上述pod的6379端口建立tcp连接。
3、所有包含label:project=myproject的namespace中的pod可以与上述pod的6379端口建立tcp连接;
4、所有default namespace下的label包含role=frontend的pod可以与上述pod的6379端口建立tcp连接;
5、允许上述pod访问网段为10.0.0.0/24的目的IP的5978端口。

再例,如果我们想要只允许default这个namespace下label包含access=true的pod访问nginx pod(label:run=nginx),可以对nginx pod设置入站规则:

kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
  name: access-nginx
  namespace: default
spec:
  podSelector:
    matchLabels:
      run: nginx
  ingress:
  - from:
    - podSelector:
        matchLabels:
          access: "true"

另外一些默认的规则:
1.同namespace的pod,入站规则为全部禁止

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: default-deny
spec:
  podSelector: {}
  policyTypes:
  - Ingress

2.同namespace的pod,入站规则为全部开放:

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-all
spec:
  podSelector: {}
  ingress:
  - {}

3.同namespace的pod,出站规则为全部禁止

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: default-deny
spec:
  podSelector: {}
  policyTypes:
  - Egress

4.同namespace的pod,出站规则为全部开放

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-all
spec:
  podSelector: {}
  egress:
  - {}
  policyTypes:
  - Egress

network policy的实现

network policy的实现仰赖CNI插件的支持,目前已经支持的cni插件包括:
Calico 。calico本身通过BGP路由实现容器网络,network policy大致也是通过它实现的。
Cilium
Kube-router。 这个工具比较吸引人,因为他使用iptables实现networkpolicy,同时它也能成为kube-proxy组件的替代品。
Romana
Weave Net。也是通过iptables实现出入站策略。(看了社区的例子,里面针对namespace级别的控制好像要用正则表达式进行匹配)
这些容器网络解决方案,在支持networkpolicy时,均需要在node上启动agent(可以用k8s的daemonset)

思考:与neutron 网络中安全组的区别

其实network policy要做的事情,安全组一样可以做。但network policy可以做到namespace范围的整体控制。
思考一个networkpolicy agent要做的事情,应该包含以下几点:
1、对networkpolicy进行全namespace范围的list & watch;
2、对规则原语的解析和定制。(如何将namespace、label等概念具象到iptables中?我的想法比较笨拙:使用正则表达式表述pod name的规则,同时list-watch pod并维护pod name 到pod ip的关系)
3、维护这些规则在本地的实现和记录(如iptables表)

安全组的规则记录在上层网关,而不是每一个节点上在安全组规则上,可能需要list watch networkPolicy、namespace、pod等资源,因此实现namespace级别的策略可能会影响其性能。

weixin_34406061
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
k8s-kubernetes--网络策略、flannel网络插件和calico网络插件
Gong_yz的博客
03-12 4064
网络策略通过网络插件来实现。要使用网络策略,你必须使用支持 NetworkPolicy网络解决方案。 创建一个 NetworkPolicy 资源对象而没有控制器来使它生效的话,是没有任何作用的。(Flannel不支持 NetworkPolicy,所以使用Flannei网络插件是不会隔离pod的)
K8s NetworkPolicy网络插件flannel、calico详细版
zhsh000的博客
11-29 2329
Kubernetes网络通信问题:   1. 容器间通信: 即同一个Pod内多个容器间通信,通常使用loopback来实现。   2. Pod间通信: K8s要求,Pod和Pod之间通信必须使用Pod-IP 直接访问另一个Pod-IP   3. Pod与Service通信: 即PodIP去访问ClusterIP,当然,clusterIP实际上是IPVS 或 iptables规则的虚拟IP,是没有TCP/IP协议栈支持的。但不影响Pod访问它.   4. Service与集群外部Client的通信,即K8s
k8s网络策略-命名空间级别的限制
最新发布
K_sir666的博客
04-24 344
​ 在实际的生产集群中,有时候不同的命名空间有限制访问的情况存在,比如测试的命名空间不可以访问生产命名空间的Pod,A服务的命名空间不可以访问B服务命名空间的Pod等类似这样的网络隔离需求,k8s支持命名空间和Pod级别的网络隔离,本文讲解的是命名空间级别的网络隔离。
Kubernetes之canal的网络策略(NetworkPolicy
weixin_30378623的博客
11-14 279
安装要求: 1、我们这里安装的是3.3的版本。kubernetes的要求: 支持的版本 1.10 1.11 1.12 2、CNI插件需要启用,Calico安装为CNI插件。必须通过传递--network-plugin=cni参数将kubelet配置为使用CNI网络。(在kubeadm上,这是默认设置。) 3、支持kube-proxy的模式 iptables ipvs需...
21.Kubernetes中的网络安全组:Network-Policy
LQ的博客
10-25 703
21.Kubernetes中的网络安全组:Network-Policy 网络策略是关于如何定义Pod组与彼此间,以及其他网络端点进行通信的规范。 NetworkPolicy资源使用标签选择pod并且定义网络流量策略。 1.Network-Policy概述 默认情况下,pod资源是非隔离性的,它可以接收任何来源的流量。 这其实不是我们生产环境所期望的,因为它不够安全! 此时就诞生了Network-Policy,如果做个比喻,我觉得它更像是阿里云上安全组的概念。 用于实现: 1.多租户的隔离(名称空间级别
kubernetes实践之五十九:NetworkPolicy
clmaykr95629的博客
06-20 284
一: 简介 1.Kubernetes的一个重要特性就是要把不同node节点的pod连接起来,无视物理节点的限制。但是在某些应用环境中,比如公有云,不同租户的pod不应该互通,这个时候就需要网络隔离。幸好,Kubernetes...
examples:Kubernetes NetworkPolicy示例
04-01
总之,`examples:Kubernetes NetworkPolicy 示例` 提供了一个学习和实践 Kubernetes 网络策略的好资源。通过分析和应用这些示例,用户能够更好地理解如何使用 NetworkPolicy 来增强集群的安全性和合规性。在实际环境...
npviz:Kubernetes NetworkPolicy可视化工具
05-16
npviz aka NetworkPolicy可视化工具 Npviz是一个简单的实用程序,它允许使用活动的kubectl上下文或使用YAML资源作为数据源的静态目录来查看Pod之间所有允许的连接。 它解析所有可用的工作负载和名称空间标签及其...
kubernetes-network-check:Kubernetes网络检查
03-16
"PodName": "kubernetes-network-check-p5h57", "PodIP": "10.42.224.0", "HostName": "kub-test-master3", "HostIP": "192.168.1.103" }, "Destination": { "PodName": "kubernetes-network-check-9p...
kubernetes笔记.rar
05-30
这篇“Kubernetes权威指南”学习笔记详细记录了Kubernetes的核心概念、工作原理以及实际操作,对于深入理解和掌握这个平台至关重要。 1. **Kubernetes核心概念** - **Pod**:Kubernetes的基本执行单元,可以包含一...
备战CKA每日一题——第10天 | (网络隔离)允许A访问B,不允许C访问B,怎么做;k8s访问控制RBAC、Role、RoleBinding以及serviceaccount引出
技术宅,专注云原生、Go、Linux、Java等技术分享,原创文章、效率工具、实战解决方案!关注我,了解互联网动态,学 IT 不迷路
12-02 703
网络隔离)允许A访问B,不允许C访问B,怎么做;k8s访问控制RBAC、Role、RoleBinding以及serviceaccount引出
【云原生 | Kubernetes篇】Kubernetes 网络策略(NetworkPolicy)(十二)
m0_54252387的博客
06-26 287
网络策略(网络隔离策略)网络策略 | Kubernetes指定Pod间的网络隔离策略,默认是所有互通。Pod 之间互通,是通过如下三个标识符的组合来辩识的:其他被允许的 Pods(例外:Pod 无法阻塞对自身的访问)被允许的名称空间IP 组块(例外:与 Pod 运行所在的节点的通信总是被允许的, 无论 Pod 或节点的 IP 地址)默认情况下,Pod网络都是非隔离的(non-isolated),可以接受来自任何请求方的网络请求。如果一个 NetworkPolicy 的标签选择器选中了某个 Pod,则该 Po
K8S NetworkPolicy网络策略介绍与实战
小楼一夜听春雨,深巷明朝卖杏花
06-24 1043
网络策略介绍 默认情况下,Kubernetes 集群网络没任何网络限制,Pod 可以与任何其他 Pod 通信,在某 些场景下就需要进行网络控制,减少网络攻击面,提高安全性,这就会用到网络策略。 网络策略(Network Policy):是一个K8s资源,用于限制Pod出入流量,提供Pod级别和 Namespace级别网络访问控制。 网络策略的应用场景: • 应用程序间的访问控制,例如项目A不能访问项目B的Pod • 开发环境命名空间不能访问测试环境命名空间Pod • 当P
Kubernetes Egress 网络策略指南
weixin_44100171的博客
07-21 2581
作者:Viswajith Venugopal 翻译:Bach(才云) 校对:bot(才云)、星空下的文仔(才云) Kubernetes 中的网络策略用于指定 Pod 组之间以及其与外部网络端点之间的通信,它就像是 Kubernetes 的防火墙。与大多数 Kubernetes 对象一样,网络策略非常灵活,功能也很强大。如果了解应用程序中服务的确切通信模式,我们就可以通过网络策略将通信限制在我们想要范围之内。 Ingress 与 Egress 网络策略可用于指定 Pod 的入口(Ingress).
k8s ingress and egress
qq_26464429的博客
02-24 4924
simple architecture of ingress in k8s: create ingress controller To create the ingress controller, use Helm to install nginx-ingress. For added redundancy, two replicas of the NGINX ingress controlle...
云原生|kubernetes|networkPolicy网络策略详解
zsk_john的技术分享专用博客
12-31 1185
由以上实验我们可以得出一个结论: 1,namespace是networkPolicy的作用域 2,from表示方向,因此,上面的例子,标签是打在了nginx1,然后登陆的nginx1,那么,如果标签打到了nginx2上,就需要使用nginx2访问nginx1了。
【云原生】k8s NetworkPolicy 网络策略是怎么样的
DreamSun的博客
04-14 1182
Kubernetes 中的 NetworkPolicy 是一个非常重要的特性,可以控制容器网络的流量和安全,确保应用程序的可靠性和安全性。为了更好地使用它,需要对其有一定的理解并遵循相应的配置和管理规则。
Kubernetes】K8s笔记(十一):Ingress 集群进出流量总管
虚幻私塾
10-22 1049
目录*
Calico网络隔离与NetworkPolicy实战
"本文主要探讨了如何利用Calico和KubernetesNetworkPolicy实现租户间的网络隔离,包括Calico的基本介绍、其架构以及NetworkPolicy的详细解析和应用案例。" 在Kubernetes环境中,网络隔离是确保多租户安全性的关键...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值