NetworkPolicy配置解读

于 2023-05-16 14:25:49 发布
阅读量178 收藏
点赞数
分类专栏: kubernetes 文章标签: kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43866248/article/details/130704173
版权

一、配置文件

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: test-network-policy
  namespace: default
spec:
  podSelector:			##标签选择器		
    matchLabels:		##匹配标签
      role: db
  policyTypes:			##策略类型
    - Ingress				##入规则
    - Egress				##出规则
  ingress:					##入规则明细
    - from:					##入规则限制源地址
        - ipBlock:			##ip地址段
            cidr: 172.17.0.0/16		##这些地址允许
            except:					##这些地址不允许
              - 172.17.1.0/24
        - namespaceSelector:		##命名空间选择
            matchLabels:			##标签选择器
              project: myproject
        - podSelector:				##pod选择
            matchLabels:
              role: frontend
      ports:						##源端口和协议
        - protocol: TCP
          port: 6379
  egress:						##出规则明细
    - to:
        - ipBlock:				##目的地址IP段
            cidr: 10.0.0.0/24	
      ports:					##目的端口&协议
        - protocol: TCP
          port: 5978

所以,该网络策略示例:
1.隔离 default 名字空间下 role=db 的 Pod (如果它们不是已经被隔离的话)
2.(Ingress 规则)允许以下 Pod 连接到 default 名字空间下的带有 role=db 标签的所有 Pod 的 6379 TCP 端口:

  • default 名字空间下带有 role=frontend 标签的所有 Pod
  • 带有 project=myproject 标签的所有名字空间中的 Pod
  • IP 地址范围为 172.17.0.0–172.17.0.255 和 172.17.2.0–172.17.255.255 (即,除了 172.17.1.0/24 之外的所有 172.17.0.0/16)

3.(Egress 规则)允许 default 名字空间中任何带有标签 role=db 的 Pod 到 CIDR 10.0.0.0/24 下 5978 TCP 端口的连接。

二、特殊场景

1.默认拒绝所有入站

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: default-deny-ingress
spec:
  podSelector: {}
  policyTypes:
  - Ingress

2.允许所有入站

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-all-ingress
spec:
  podSelector: {}
  ingress:
  - {}
  policyTypes:
  - Ingress

3.拒绝所有出站

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: default-deny-egress
spec:
  podSelector: {}
  policyTypes:
  - Egress

4.允许所有出站

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-all-egress
spec:
  podSelector: {}
  egress:
  - {}
  policyTypes:
  - Egress
风向决定发型丶
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
k8s NetworkPolicy配置
weixin_40548182的博客
06-10 287
说明:该规则允许labels为app: nginx-test2的pod访问集群内的其他pod。
cka真题练习(三)配置网络策略Networkpolicy
最新发布
m0_65307735的博客
03-15 350
在namespace my-app中创建一个allow-port-from-namespace的新networkpolicy,确保新的NetwoekPolicy允许namespace big-corp中的Pods连接到namespace my-app中的Pod的端口8080。如果有一个独特的标签 label,则也可以直接使用。#在k8s官方找到以下对应的位置,将以下内容复制下来,下方有复制好的,可以直接使用。不允许不来自namespace my-app 的Pods访问。按照题目要求修改内容。
k8s安全05--配置网络策略 NetworkPolicy
脚步不能达到的地方,眼光可以达到;眼光不能达到的地方,精神可以飞到
11-17 1659
k8s安全05--配置网络策略1 介绍2 案例2.1 案例11.1 创建 ns 和 pod1.2 查看pod,svc 信息1.3 测试网络联通性1.4 在集群外部通过NodePort 访问服务1.5 创建网络策略,prod-a 拒绝任何访问1.6 测试网络策略1.7 创建网络策略, 允许标签为 app: front 的pod 访问1.8 测试网络策略2.2 案例22.1 创建ns 和 pod2.2 创建网络策略2.3 测试网络策略3 注意事项3.1 常见Selector功能区别4 说明 1 介绍 2 案例
Micropython——network配置使用
Xa_L
07-05 3171
1、network是什么?此模块提供网络驱动程序和路由配置。要使用此模块,必须安装具有网络功能的MicroPython变体/构建。此模块中提供了特定硬件的网络驱动程序,用于配置硬件网络接口。然后,配置接口提供的网络服务可通过usocket模块使用。2、network方法和类使用? 4、示例......
k8s学习-网络策略NetworkPolicy(概念、模版、创建、删除等)
关注网络安全、云原生安全
09-11 2598
3.(Egress 规则)允许 “default” 命名空间中任何带有标签 “role=db” 的 Pod 到 CIDR 10.0.0.0/24 下 5978 TCP 端口的连接。k8s的命名空间是没有强制隔离性的,访问service时加上.namespace的名称即可。:此选择器将选择特定的名字空间,应将所有 Pod 用作其入站流量来源或出站流量目的地。k8s的Pod是没有隔离行的,任意命名空间下的Pod可以访问任意命名空间下的Pod。的 to/from 条目选择特定名字空间中的特定 Pod。
examples:Kubernetes NetworkPolicy示例
04-01
虽然 NetworkPolicy 可以提供强大的安全特性,但过度使用配置不当可能导致通信瓶颈。在设计策略时,需要平衡安全性和效率,确保关键服务不受影响。 总之,`examples:Kubernetes NetworkPolicy 示例` 提供了一个...
Network in Network网络配置文件
12-26
**网络在网络(Network in Network,NIN)** 网络在网络是一种深度学习模型,由Min Lin、Qing Yu和Yann LeCun于2013年提出,它旨在通过引入微层(micro-layers)来增强卷积神经网络(CNNs)的表达能力。NIN的核心...
npviz:Kubernetes NetworkPolicy可视化工具
05-16
npviz aka NetworkPolicy可视化工具 Npviz是一个简单的实用程序,它允许使用活动的kubectl上下文或使用YAML资源作为数据源的静态目录来查看Pod之间所有允许的连接。 它解析所有可用的工作负载和名称空间标签及其...
network-policy-tutorial:NetworkPolicy教程
03-04
NetworkPolicy教程欢迎! :waving_hand: 本教程可帮助您开始使用Kubernetes NetworkPolicy。什么是Kubernetes NetworkPolicyNetworkPolicy是一个标准化的Kubernetes对象,用于控制Kubernetes Pod和名称空间之间...
关于 KubernetesNetworkPolicy(网络策略)方面的一些笔记
山河已无恙
01-09 2363
混吃等死,小富即安,飞黄腾达,是因为各有各的缘法,未必有高下之分。--—烽火戏诸侯《剑来》
k8s实战之资源和命令
12-17
介绍主要的k8s资源的使用配置和命令。包括configmap,pod,service,replicaset,namespace,deployment,daemonset,ingress,pv,pvc,sc,role,rolebinding,clusterrole,clusterrolebinding,secret,serviceaccount,statefulset,job,cronjob,podDisruptionbudget,podSecurityPolicy,networkPolicy,resourceQuota,limitrange,endpoint,event,conponentstatus,node,apiservice,controllerRevision等。
k8s network policy配置,看这篇就够了
weixin_36086263的博客
06-10 6285
这是一篇关于k8s的网络策略配置说明 用户在使用k8s中,有对网络策略的配置需求,有时候希望不同的namespace之间不能互相访问,但是我们知道k8s中所有的pod之间都是可以互相访问的,这个时候就需要网络策略来帮助我们实现这个诉求,网络策略依赖于cni网络插件,不是所有的网络插件都支持网络策略,calico支持网络策略,而flannel不支持。 接下来我以一张图来说明k8s的networkpolicy资源的配置 整个图总接下来如下: 入口规则: 仅允许 1.来自(from)命名空间(spec
4 Network配置
kaifei的博客
08-18 1640
networking 配置
kubernetes networkpolicy网络策略详解
热门推荐
爱死亡机器人
09-05 1万+
1. 简介 网络策略(NetworkPolicy)是一种关于 Pod 间及与其他网络端点间所允许的通信规则的规范。 NetworkPolicy 资源使用 标签 选择 Pod,并定义选定 Pod 所允许的通信规则。 2. 语法 apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: test-network-policy namespace: default spec: podSelector: matchL
【云原生 | Kubernetes 系列】Networkpolicy实验9则
Q先生
08-17 990
值允许namespace为python,标签为 python-nginx-selector的pod访问标签为python-tomcat-app1-selector 的pod。通过ns python下的pod可以访问,通过ns default 和linux的pod也可以访问,但ip为172.100.109.123的pod无法访问。效果和上题类似,但上单端口范围只有3个,这里没有指定,那么只要打开的端口都能被同ns下的pod访问,但跨ns则会被拒绝。效果就是当前ns下可以访问这些端口,但非当前ns访问被拒绝。.
k8s NetworkPolicy
longtails的博客
12-31 1347
k8s NetworkPolicy networkpolicy对象主要关注三个地方 第一个是绑定用的label; 第二个ingress; 第三个egress; 此外,就是一些默认策略,比如禁止所有,允许所有 networkpolicy [root@cce-demo1522483688765-00274 ~]# cat nwp.yaml apiVersion: networkin...
Kubernetes 的网络原理 (六)---Kubernetes网络策略
会哭的雨@的博客
08-02 282
Kubernetes网络策略 1.1 策略说明 为实现细粒度的容器间网络访问隔离策略,Kubernetes发布Network Policy,目前已升级为networking.k8s.io/v1稳定版本。 Network Policy的主要功能是对Pod间的网络通信进行限制和准入控制,设置方式为将Pod的Label作为查询条件,设置允许访问或禁止访问的客户端Pod列表。目前查询条件可以作用于Pod和Namespace级别。 为了使用Network Policy,Ku...
Kubernetes网络隔离NetworkPolicy实验
liukuan73的专栏
11-28 7211
前言Kubernetes的一个重要特性就是要把不同node节点的pod(container)连接起来,无视物理节点的限制。但是在某些应用环境中,比如公有云,不同租户的pod不应该互通,这个时候就需要网络隔离。幸好,Kubernetes提供了NetworkPolicy,支持按Namespace级别的网络隔离。使用NetworkPolicy需要kubernetes1.8以及calico2.6.2。实验步
Calico网络隔离与NetworkPolicy实战
"本文主要探讨了如何利用Calico和KubernetesNetworkPolicy实现租户间的网络隔离,包括Calico的基本介绍、其架构以及NetworkPolicy的详细解析和应用案例。" 在Kubernetes环境中,网络隔离是确保多租户安全性的关键...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值