kubernetes之NetworkPolicy

已于 2023-08-01 15:39:22 修改
阅读量641 收藏
点赞数 1
分类专栏: kubernetes 文章标签: kubernetes 容器 云原生
于 2023-07-31 17:10:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41910699/article/details/132025770
版权

一、背景

        如果希望在OSI模型中第三层或第四层控制网络流量,则应该使用NetworkPolicy这个对象;NetworkPolicy以应用为中心,主要用来控制Pod网络流量的进入和流出

二、实例说明

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata: 
  name: network-policy-test
  namespace: luoxianming
spec: 
  podSelector: 
    matchLabels: 
      app: web
  policyTypes: 
    - Ingress
    - Egress
  ingress: 
    - from: 
        - ipBlock: 
            cidr: 172.17.0.0/16
            except: 
              - 172.17.0.0/24
        - namespaceSelector: 
            matchLabels: 
              project: luoxianming
        - podSelector: 
            matchLabels: 
              app: web
      ports: 
        - protocol: TCP
          port: 8080 
  egress: 
    - to: 
        - ipBlock: 
            cidr: 10.0.0.0/24
      ports: 
        - protocol: TCP
          port: 8080

 解释:

1) 当policyTypes中包含了Ingress和Egress,则表明:该范围的Pod是出口和入口都有进行限制,白名单是通过Ingress和egress字段,进行放行

2) 默认Pod的入口和出口都是非隔离的

3) NetworkPolicy 资源依赖于网络插件实现

4) podSelector表明使用NetworkPolicy的Pod,当podSelector为空,表明选择名称空间下素有Pod,选择的名称空间为namespace指定

三、参数解释

podSelector: 每个NetworkPolicy中都包括一个podSelector,表示一组Pod进行选择

policyTypes: 每个NetworkPolicy都包含一个policyTypes列表,其中包含Ingress或Egress或者两者兼有;表示对给定的Pod是控制Ingress还是Egress还是两者兼有

Ingress: Ingress白名单列表

egress: egress白名单列表

四、选择器 

在Ingress或egress部分中,在from或to字段部分可以定义如下四种选择器:

podSelector: 选择特定Pod

namespaceSelector: 选择特定的名称空间,应将所有Pod用于入站流量或出站流量

ipBlock: 选择特定IP,这些IP应该是集群外部IP

namespaceSelecotr和PodSelecotr: 一个指定 namespaceSelector 和 podSelector 的 to/from 条目选择特定名字空间中的特定 Pod

 4.1 选择器to和from的区别

  ingress:
  - from:
    - namespaceSelector:
        matchLabels:
          user: alice
      podSelector:
        matchLabels:
          role: client

定义Ingress, from中只有一个元素,表明只允许名称空间标签有user=Alice的并且Pod有标签Role=client的Pod连接

  ingress:
  - from:
    - namespaceSelector:
        matchLabels:
          user: alice
    - podSelector:
        matchLabels:
          role: client

 有2个元素:允许来自本地名字空间中标有 role=client 的 Pod 的连接,来自任何名字空间中标有 user=alice 的任何 Pod 的连接,采用的是“或”

4.2 拒绝所有入站流量

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: default-deny-ingress
spec:
  podSelector: {}
  policyTypes:
  - Ingress

4.3 允许所有入站流量

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-all-ingress
spec:
  podSelector: {}
  ingress:
  - {}
  policyTypes:
  - Ingress

4.4 默认拒绝所有出站流量

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: default-deny-egress
spec:
  podSelector: {}
  policyTypes:
  - Egress

4.5 允许所有出站流量

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-all-egress
spec:
  podSelector: {}
  egress:
  - {}
  policyTypes:
  - Egress

 五、参考文档链接

网络策略 | Kubernetes

仅做学习笔记参考使用

罗显明-技术个人博客
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
十九. Kubernetes NetworkPolicy 网络隔离策略
qq_29799655的博客
05-25 624
【代码】十九. Kubernetes NetworkPolicy 网络隔离策略。
Kubernetes学习之NetworkPolicy
Steven19920104的博客
12-26 852
上述规则允许role=db命名空间上带有标签的任何 Pod 通过 TCPdefault与范围内的任何 IP 进行通信10.0.0.0/24,前提是目标端口在范围 32000 和 32768 之间。有了这个策略,任何额外的策略都不会导致来自这些 pod 的任何传出连接被拒绝。有了这个策略,任何额外的策略都不会导致到这些 pod 的任何传入连接被拒绝。这确保了即使没有被任何其他 NetworkPolicy 选择的 Pod 也不会被允许进入或流出流量。默认情况下,Pod的出口是非隔离的,允许所有出站连接。
Kubernetes 网络策略(NetworkPolicy
背着小书包一路追寻梦想
07-21 301
当一个 Pod 的入口被隔离时,唯一允许进入该 Pod 的连接是来自该 Pod 节点的连接和适用于入口的 Pod 的某个 NetworkPolicy 的。当一个 Pod 的出口被隔离时, 唯一允许的来自 Pod 的连接是适用于出口的 Pod 的某个 NetworkPolicy 的。如果策略适用于 Pod 某一特定方向的流量, Pod 在对应方向所允许的连接是适用的网络策略所允许的集合。要允许从源 Pod 到目的 Pod 的连接,源 Pod 的出口策略和目的 Pod 的入口策略都需要允许连接。
kubernetes网络之网络策略-----Network Policies - Default
linus.lin的博客
08-02 538
默认情况下,如果名称空间中没有配置 NetworkPolicy,则该名称空间中,所有Pod的所有入方向流量和所有出方向流量都是被允许的。那么如果我们想改变名称空间中默认的网络策略,又该怎么做呢?
关于 KubernetesNetworkPolicy(网络策略)方面的一些笔记
山河已无恙
01-09 2368
混吃等死,小富即安,飞黄腾达,是因为各有各的缘法,未必有高下之分。--—烽火戏诸侯《剑来》
examples:Kubernetes NetworkPolicy示例
04-01
**Kubernetes NetworkPolicy 示例** 在 Kubernetes 集群中,NetworkPolicy 是一种强大的工具,用于定义网络隔离策略,以控制Pod之间的通信。本资源库包含了各种类型的 NetworkPolicy 示例,帮助用户理解和实施网络...
npviz:Kubernetes NetworkPolicy可视化工具
05-16
npviz aka NetworkPolicy可视化工具 Npviz是一个简单的实用程序,它允许使用活动的kubectl上下文或使用YAML资源作为数据源的静态目录来查看Pod之间所有允许的连接。 它解析所有可用的工作负载和名称空间标签及其...
kubernetes-network-policy-recipes:您可以复制粘贴的Kubernetes网络策略的示例配方
02-04
而随着安全性成为关注焦点,Kubernetes网络策略(Network Policy)成为了确保应用之间通信安全的重要工具。"kubernetes-network-policy-recipes" 提供了一系列可直接使用的示例,帮助用户更好地理解和实施这些策略。...
kubernetes-network-simulator
04-02
3. **网络策略(Network Policy)**:Kubernetes Network Policy允许我们定义Pod间的网络访问规则,实现细粒度的网络隔离。模拟器将展示如何配置和应用网络策略,以及它们对Pod通信的影响。 4. **CNI插件**:模拟器...
network-policy-tutorial:NetworkPolicy教程
03-04
:waving_hand: 本教程可帮助您开始使用Kubernetes NetworkPolicy。什么是Kubernetes NetworkPolicyNetworkPolicy是一个标准化的Kubernetes对象,用于控制Kubernetes Pod和名称空间之间允许的网络流量模式,以及...
k8s学习-网络策略NetworkPolicy(概念、模版、创建、删除等)
关注网络安全、云原生安全
09-11 2618
3.(Egress 规则)允许 “default” 命名空间中任何带有标签 “role=db” 的 Pod 到 CIDR 10.0.0.0/24 下 5978 TCP 端口的连接。k8s的命名空间是没有强制隔离性的,访问service时加上.namespace的名称即可。:此选择器将选择特定的名字空间,应将所有 Pod 用作其入站流量来源或出站流量目的地。k8s的Pod是没有隔离行的,任意命名空间下的Pod可以访问任意命名空间下的Pod。的 to/from 条目选择特定名字空间中的特定 Pod。
k8s network policy配置,看这篇就够了
weixin_36086263的博客
06-10 6299
这是一篇关于k8s的网络策略配置说明 用户在使用k8s中,有对网络策略的配置需求,有时候希望不同的namespace之间不能互相访问,但是我们知道k8s中所有的pod之间都是可以互相访问的,这个时候就需要网络策略来帮助我们实现这个诉求,网络策略依赖于cni网络插件,不是所有的网络插件都支持网络策略,calico支持网络策略,而flannel不支持。 接下来我以一张图来说明k8s的networkpolicy资源的配置 整个图总接下来如下: 入口规则: 仅允许 1.来自(from)命名空间(spec
kubernetes networkpolicy网络策略详解
热门推荐
爱死亡机器人
09-05 1万+
1. 简介 网络策略(NetworkPolicy)是一种关于 Pod 间及与其他网络端点间所允许的通信规则的规范。 NetworkPolicy 资源使用 标签 选择 Pod,并定义选定 Pod 所允许的通信规则。 2. 语法 apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: test-network-policy namespace: default spec: podSelector: matchL
云原生 | Kubernetes篇】Kubernetes 网络策略(NetworkPolicy)(十二)
m0_54252387的博客
06-26 287
网络策略(网络隔离策略)网络策略 | Kubernetes指定Pod间的网络隔离策略,默认是所有互通。Pod 之间互通,是通过如下三个标识符的组合来辩识的:其他被允许的 Pods(例外:Pod 无法阻塞对自身的访问)被允许的名称空间IP 组块(例外:与 Pod 运行所在的节点的通信总是被允许的, 无论 Pod 或节点的 IP 地址)默认情况下,Pod网络都是非隔离的(non-isolated),可以接受来自任何请求方的网络请求。如果一个 NetworkPolicy 的标签选择器选中了某个 Pod,则该 Po
一起来学k8s 19.NetworkPolicy
隔壁小翔
07-14 902
NetworkPolicy Kubernetes提供了NetworkPolicy,支持按Namespace级别的网络隔离,flannel 是没有网络策略的,calico有网络策略,建议安装calico,或者canal(就是flannel+calico,flannel作为网络划分,calico作为网络策略)。 环境 192.168.48.101 master01 192.168.48.201 nod...
Kubernetes网络隔离NetworkPolicy实验
liukuan73的专栏
11-28 7214
前言Kubernetes的一个重要特性就是要把不同node节点的pod(container)连接起来,无视物理节点的限制。但是在某些应用环境中,比如公有云,不同租户的pod不应该互通,这个时候就需要网络隔离。幸好,Kubernetes提供了NetworkPolicy,支持按Namespace级别的网络隔离。使用NetworkPolicy需要kubernetes1.8以及calico2.6.2。实验步
KubernetesNetwork Policy
山不转的博客
07-27 2231
概述 Kubernetes要求集群中所有pod,无论是节点内还是跨节点,都可以直接通信,或者说所有pod工作在同一跨节点网络,此网络一般是二层虚拟网络,称为pod网络。在安装引导kubernetes时,由选择并安装的network plugin实现。默认情况下,集群中所有pod之间、pod与节点之间可以互通。 网络主要解决两个问题,一个是连通性,实体之间能够通过网络互通。另一个是隔离性,出于安...
k8s多集群管理工具kubecm
最新发布
misakivv的博客
07-25 574
k8s多集群管理工具kubecm
[k8s源码]9.workqueue
weixin_45396500的博客
07-24 1087
client-go 是一个库,提供了与 Kubernetes API 服务器交互的基础设施。它提供了诸如 Informer、Lister、ClientSet 等工具,用于监听、缓存和操作 Kubernetes 资源。而自定义控制器则利用这些工具来实现特定的业务逻辑和自动化任务。业务逻辑实现:client-go 不包含特定的业务逻辑。自定义控制器允许实现特定于您的应用程序或需求的逻辑。扩展 Kubernetes:通过自定义控制器,可以扩展 Kubernetes 的功能,处理自定义资源或实现特定的自动化任务。
Calico网络隔离与NetworkPolicy实战
"本文主要探讨了如何利用Calico和KubernetesNetworkPolicy实现租户间的网络隔离,包括Calico的基本介绍、其架构以及NetworkPolicy的详细解析和应用案例。" 在Kubernetes环境中,网络隔离是确保多租户安全性的关键...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值