OpenShift 4 - 通过NetworkPolicy配置Pod访问策略(附视频)

已于 2023-10-04 21:26:28 修改
阅读量1.4k 收藏 1
点赞数
分类专栏: 安全 OpenShift 4 网络 文章标签: openshift kubernetes
于 2019-12-14 17:11:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43902588/article/details/103536739
版权
OpenShift 4 同时被 3 个专栏收录
271 篇文章 79 订阅
订阅专栏
安全
76 篇文章 6 订阅
订阅专栏
网络
6 篇文章 0 订阅
订阅专栏

OpenShift 4.x HOL教程汇总
说明:本文已经在OpenShift 4.14环境中验证

文章目录

NetworkPolicy简介

NetworkPolicy 是 Kubernetes 和 OpenShift 定义通过网络访问 Pod 的安全策略,利用它可以在不通的 Project 和 Pod 之间定义细粒度的应用访问策略。在 NetworkPolicy 中以白名单的方式定义了针对“XXX项目”的“XXXPod”可以让“XXX项目”的“XXXPod”通过“XXX端口”访问。在 NetworkPolicy 白名单以外的 Pod 之间的访问都是无法联通的。

应用环境和测试方法

部署测试应用

创建如下资源:

$ oc new-project project1
$ oc label namespace project1 name=project1
$ oc new-project project2
$ oc label namespace project2 name=project2
$ oc new-project project3
$ oc label namespace project3 name=project3
$ oc new-app -n project1 openshiftroadshow/parksmap --name=web-db
$ oc new-app -n project1 openshiftroadshow/parksmap --name=web
$ oc new-app -n project1 openshiftroadshow/parksmap --name=db
$ oc new-app -n project1 openshiftroadshow/parksmap --name=mail
$ oc new-app -n project1 openshiftroadshow/parksmap --name=foobar
$ oc new-app -n project1 openshiftroadshow/parksmap --name=foo
$ oc new-app -n project1 openshiftroadshow/parksmap --name=bar
$ oc new-app -n project1 openshiftroadshow/parksmap --name=api
$ oc new-app -n project1 openshiftroadshow/parksmap --name=monitoring
$ oc new-app -n project1 openshiftroadshow/parksmap --name=project1-app
$ oc new-app -n project2 openshiftroadshow/parksmap --name=project2-app
$ oc new-app -n project3 openshiftroadshow/parksmap --name=project3-app

测试验证

通过以下方法验证可从应用的Pod中访问到同一项目或不同项目的应用Service地址。以下是从project2的project2-app的Pod经过project1的project1-app的Service的CLUSTER-IP访问project1-app的Pod的说明。

$ APP_NAME=project1-app
$ CLUSTER_IP=$(oc get svc ${APP_NAME} -o jsonpath={.spec.clusterIP} -n project1)
$ POD_NAME=$(oc get pod -o custom-columns=project:metadata.name --no-headers -n project2)
$ oc exec ${POD_NAME} -n project2 -- curl -Is ${CLUSTER_IP}:8080
HTTP/1.1 200
Last-Modified: Mon, 01 Apr 2019 16:54:28 GMT
Accept-Ranges: bytes
Content-Type: text/html;charset=UTF-8
Content-Language: en-US
Content-Length: 13338
Date: Sat, 23 Apr 2022 16:13:57 GMT

NetworkPolicy策略

说明:以下 NetworkPolicy 策略提供了 OpenShift 控制台的配置截图或 editor.cilium.io 的配置截图。

拒绝所有Pod直接访问

在这里插入图片描述

  1. 创建NetworkPolicy策略实施于project1。注意:为了不相互影响,需要将其它策略删除。
$ cat << EOF | oc apply -f -
kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
  name: deny-all-ingress
  namespace: project1
spec:
  # 当前 namespace 中的所有 pod
  podSelector: {}
  # 因为没有定义 ingress,所以所有 ingress 都不被允许
  policyTypes:
    - Ingress
EOF

或按下图在 OpenShift 控制台上配置NetworkPolicy策略。
在这里插入图片描述

  1. 使用前面的 “测试验证”步骤确认已经无法从任何项目的Pod访问到project1-app1的Service了。

拒绝有 Pod 的 Egress 流量

  1. 创建NetworkPolicy策略,拒绝 project1 项目中所有Pod 的 Egress 流量。
$ cat << EOF | oc apply -f -
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: deny-all-egress
  namespace: project1
spec:
  podSelector: {}
  policyTypes:
  - Egress
EOF

在这里插入图片描述

  1. 通过“测试验证”步骤确认无法从 project1 的任何 Pod 访问 www.baidu.com。

只允许来自相同项目的Pod访问

在这里插入图片描述

  1. 创建 NetworkPolicy 策略实施于project1。注意:为了不相互影响,需要将其它策略删除。
$ cat << EOF | oc apply -f -
kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
  name: allow-same-namespace
  namespace: project1
spec:
  # 当前 namespace 中的所有 pod
  podSelector: {}
  # 可以接收来自当前 namespace 中所有 pod 的 ingress 访问
  ingress:
    - from:
        - podSelector: {}
  policyTypes:
    - Ingress
EOF

在这里插入图片描述

  1. 通过“测试验证”步骤确认只能从project1的Pod访问project1-app的Service了。

只允许来自同一项目的指定Pod访问

在这里插入图片描述

  1. 创建NetworkPolicy策略实施于project1。注意:为了不相互影响,需要将其它策略删除。
$ cat << EOF | oc apply -f -
kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
  name: allow-mail-access-db
  namespace: project1
spec:
  # 当前 namespace 中有 app=db 标签的 pod
  podSelector:
    matchLabels:
      app: db
  # 可以接收来自当前 namespace 中有 app=mai 标签的 pod 的 ingress 访问
  ingress:
    - from:
        - podSelector:
            matchLabels:
              app: mail
  policyTypes:
    - Ingress
EOF

在这里插入图片描述
在这里插入图片描述

  1. 通过“测试验证”步骤确认只能从mail访问db的Service了。

允许从所有项目访问

在这里插入图片描述

  1. 创建NetworkPolicy策略实施于project1。注意:为了不相互影响,需要将其它策略删除。
$ cat << EOF | oc apply -f -
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-from-all-namespace
  namespace: project1
spec:
  # 当前 namespace 中有 app=web-db 标签的 pod
  podSelector:
    matchLabels:
      app: web-db
  # 可以接收来自所有 namespace 的 pod 的 ingress 访问
  ingress:
    - from:
        - namespaceSelector: {}
  policyTypes:
    - Ingress
EOF

在这里插入图片描述
在这里插入图片描述

  1. 通过“测试验证”步骤确认只能从其它项目的Pod访问web-db的Service了。

只允许从指定的项目访问

在这里插入图片描述

  1. 创建NetworkPolicy策略实施于project1。注意:为了不相互影响,需要将其它策略删除。
$ cat << EOF | oc apply -f -
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-from-project2
  namespace: project1
spec:
  # 当前 namespace 中有 app=web 标签的 pod
  podSelector:
    matchLabels:
      app: web
  # 可以接收来自标签中有 name=project2 的 namespace 里包含的 pod 的 ingress 访问
  ingress:
    - from:
        - namespaceSelector:
            matchLabels:
              name: project2
  policyTypes:
    - Ingress
EOF

在这里插入图片描述
在这里插入图片描述

  1. 通过“测试验证”步骤确认只能从project2项目的Pod访问project1项目web的Service了。

只允许从指定项目的指定Pod访问

  1. 创建NetworkPolicy策略实施于project1。注意:为了不相互影响,需要将其它策略删除。
$ cat << EOF | oc apply -f -
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-from-project2-mail
  namespace: project1
spec:
  # 当前 namespace 中有 app=db 标签的 pod
  podSelector:
    matchLabels:
      app: db
  # 可以接收来自标签中有 name=project2 的 namespace 里包含 app=mail 标签的 pod 的 ingress 访问
  ingress:
    - from:
        - namespaceSelector:
            matchLabels:
              name: project2
          podSelector:
            matchLabels:
              app: mail
  policyTypes:
    - Ingress
EOF

在这里插入图片描述
在这里插入图片描述

  1. 通过“测试验证”步骤确认只能从project2项目中mail的Pod访问project1项目web的Service了。

注意:以上代码的namespaceSelector和podSelector是“并且”的关系。而以下代码namespaceSelector和podSelecto是“或者”的关系。

spec:
  # 当前 namespace 中有 app=db 标签的 pod
  podSelector:
    matchLabels:
      app: db
  # 可以接收来自标签中有 name=project2 的 namespace 中所有 pod 的 ingress 访问,或当前 namespace 中有 app=mail 标签的 pod 的 ingress 访问
  ingress:
    - from:
        - namespaceSelector:
            matchLabels:
              name: project2
    - from:
        - podSelector:
            matchLabels:
              app: mail
  policyTypes:
    - Ingress

在这里插入图片描述
在这里插入图片描述

只允许从指定的端口访问

在这里插入图片描述

  1. 创建NetworkPolicy策略实施于project1。注意:为了不相互影响,需要将其它策略删除l。
$ cat << EOF | oc apply -f -
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-port
  namespace: project1
spec:
  # 当前 namespace 中有 app=api 标签的 pod
  podSelector:
    matchLabels:
      app: api
  # 可以从 80/443 端口接收来自当前 namespace 中有 app=monitoring 标签的 pod 的 ingress 访问
  ingress:
    - from:
        - podSelector:
            matchLabels:
              app: monitoring
      ports:
        - protocol: TCP
          port: 80
        - protocol: TCP
          port: 443
EOF

在这里插入图片描述

混合策略

如果一个Pod被不同的NetworkPolicy定义了访问策略,则这些访问策略的全集适用于这个Pod。

演示视频

视频

其它参考

  • https://kubernetes.io/docs/concepts/services-networking/network-policies/
  • https://blog.openshift.com/whats-new-in-openshift-3-5-network-policy-tech-preview/
  • https://editor.cilium.io/
dawnsky.liu
关注
专栏目录
OpenShift — Overview
烟云的计算
11-27 1753
目录 文章目录目录前言OpenShift v3 — 将 Kubernetes “企业” 化选择 Kubernetes单集群实现多用户、多应用应用部署更简单、更安全运行多类型的应用负载应用程序外部访问OpenShift v4.0 — 从构建平台到运营平台使用 Prometheus + Grafana 进行管理和监控使用 Kubernetes Operators & CRDs 管理服务用 Kubernetes 安装升级 Kubernetes在不可变基础架构上部署 Kubernetes集群版本隔空更新(O
云计算与云原生—OpenShift 的架构设计
ma_xiao_qi的博客
05-10 752
前言 从 红帽云平台业务部产品副总裁 Joe Fernandes(乔·费尔南德斯)的访谈回顾 OpenShift 的发展历程。 OpenShift v3 — 将 Kubernetes “企业” 化 选择 Kubernetes 2011 年 Redhat 首次推出 OpenShift 产品,OpenShift v1、v2 都依赖 Linux 原生的 Container 技术来部署用户应用。2013 年,红帽做出了一项决定,支持 Docker 开源项目,帮助推动容器运行时和容器镜像包装格式的标准,这
Openshift的网络之一:概览和基本配置
cloudvtech的博客
04-22 5077
一、前言Openshift可以看作是对于kubernetes和docker解决方案的更高级别封装,提供了PAAS解决方案级别的基础设施,包括:镜像构建和registry存储服务部署和暴露(Router)基于OVS SDN的overlay CNI实现更细粒度的权限控制(RABC)在我们的lagecy应用向容器云解决方案迁移的过程中,在使用kubernetes方案作为过度之后,最终使用了Openshi...
k8s pod访问策略及使用service访问集群中的pod
学亮编程手记
09-08 2341
参数执行 curl 命令的,这是因为在证书生成时, 我们不知道任何关于运行 nginx 的 Pod 的信息,所以不得不在执行 curl 命令时忽略 CName 不匹配的情况。这是因为副本的创建先于 Service。Pod 会终止,Deployment 将创建新的 Pod,且使用不同的 IP。需要注意的是,容器不会使用该节点上的 80 端口,也不会使用任何特定的 NAT 规则去路由流量到 Pod 上。如果你想的话,你依然可以将宿主节点的某个端口的流量转发到 Pod 中,但是出于网络模型的原因,你不必这么做。
openshift在主机节点上操作pod文件
haiziccc的专栏
05-08 741
参照前文https://blog.csdn.net/haiziccc/article/details/105658231获取containerID oc describe pod pod-name -n namespace-name|grep node //获取该pod运行在哪个节点 登录到该节点 docker ps -a|grep pod-name //获取containID(这个是con...
OpenShift 4 - Pod 优先级
多恩斯基的博客
03-02 511
OpenShift 4.x HOL教程汇总》 说明:本文已经在OpenShift 4.6环境中验证 文章目录优先级概念用PriorityClass定义优先级系统缺省PriorityClass自定义PriorityClass 优先级概念 一个 pod 的优先级表示这个 pod 相对于其他 pod 的重要性,OpenShift 会根据 Pod 的优先级确定分配运行资源的顺序。pod的优先级是其关联的PriorityClass对象定义的,在PriorityClass中用一个正整数指定优先级,数字越大,优先级越高
OpenShift 4 - 基于CPU负载和网络负载的HPA
多恩斯基的博客
07-30 831
文章目录缺省基于CPU的HPA定制基于HTTP请求的HPA第一个:基于HTTP Request的HPA第二个:基于 缺省基于CPU的HPA 要实现HPA,先确保OpenShift需要有Metrics功能。 创建项目,部署测试应用。 $ oc new-project my-hpa1 $ oc new-app quay.io/gpte-devops-automation/pod-autoscale-lab:rc0 --name=pod-autoscale 创建LimitRange。 $ echo '-
003.OpenShift网络
gg7894125的博客
06-19 1828
目录 一 OpenShift网络实现 1.1 软件定义网络(SDN) 1.2 Kubernetes SDN Pod 1.3 Kubernetes SDN Service 1.4 service对外暴露 1.5 pod访问外部网络 二 OpenShift SDN练习 2.1 前置准备 2.2 本练习准备 2.3 创建应用 2.4 扩展应用 2.5 测试访问 2.6 检查服务 2.7 检查pod 2.8 设置
技术分享 | OpenShift网络之SDN
shurenyun的博客
09-07 1652
在红帽主导的容器平台OpenShift中,默认使用了原生的SDN网络解决方案,这是专门为OpenShift开发的一套符合CNI标准的SDN Plugin,并采用了当下流行的OVS作为虚拟交换机。   Overview   一个基本的SDN系统一般包含管理面、控制面和数据(转发)面三部分,通俗来说,管理面的对外表现就是北向接口,拿Openshift中的SDN来说,它的北向接口就是CNI了,k...
openshift 学习笔记-6 secret and quota
vito
10-18 3979
容器是在linux命名空间和CGroup的基础上,通过SELinux限制容器进程对资源的读取访问或限制容器的容量。容器的安全隔离已经达到了生产可用级别。 容器安全涉及到多个层面:1、容器自身安全;2、容器镜像安全;3、宿主机安全; 1、用户认证openshift通过OAuth进行用户认证,OAuth是一个开源的认证和授权框架,OAuth通过用户登录认证以后,返回一个token,用户可以在有效的时间内
OpenShift 4 - 使用 Descheduler 重新调度OpenShift 集群节点的 Pod视频
多恩斯基的博客
05-21 506
OpenShift / RHEL / DevSecOps 汇总目录》 文本已在OpenShift 4.10环境中进行验证。 文章目录场景说明场景验证部署测试应用关闭一个 Machine安装配置 Kube Deschedule Operator安装配置 Kube Deschedule Operator 场景说明 当新的 Worker 节点加入 OpenShift 集群后,通常只有在原有集群的 Worker 节点的资源比较吃紧的时候, 分布在原有集群的 Worker 节点的 Pod 才会被强制重新调度新节点上
zabbix 监控openshift pod状态
acpf94337的博客
11-23 410
需求: pod中的容器重启一次则报警通知 pod非Runing 状态则报警 pod中的容器非true状态则报警 三个需求其实是有点重叠的 pod重启期间pod肯定会有非Running状态,只要有重启报警那么pod非Runing也会报警,pod非Runing容器状态肯定非true也会报警 所有报警设置为: pod重启一次就报警 pod非Runing and容器非true...
如何通过Ip和端口号访问okd/openshift上创建的数据库(应用程序)
qq_42409015的博客
07-07 443
如何通过Ip和端口号访问okd/openshift上创建的数据库(应用程序) 对于如何访问okd创建的pod的数据库,我们可以去理解一下okd中svc的三种模式。 对于mysql数据库应用程序的pod,查看是否有暴露svc,在web console页面或者执行oc get svc都能查看到是否有svc,如果已有,就直接执行oc edit svc $svc名称。然后修改type类型为NodePort,一般原来为ClusterIP,然后再次运行oc get svc,就可以看到,给出了一个外部端口映射到应用的端口
openshift pod对外访问网络解析
weixin_33826268的博客
03-20 868
openshift封装了k8s,在网络上结合ovs实现了多租户隔离,对外提供服务时报文需要经过ovs的tun0接口。下面就如何通过tun0访问pod(172.30.0.0/16)进行解析(下图来自理解OpenShift(3):网络之 SDN,删除了原图的IP) openshift版本如下: # openshift version openshift v3.6.173.0.5 kub...
openshiftpod重启/升级时,旧pod下线时间设置
冰魄神光
06-14 541
在升级服务时,经常新的服务还没启动完成 旧的pod已经变为不可用,导致服务不能正常运行,因此希望延长旧pod的下线时间来达到升级时服务整体可用,需要运维人员修改配置 failurePolicy:Fail 或 Ignore,默认 Fail;表示一旦有某个容器停止或重建失败,CRR 立即结束。 orderedRecreate:默认 false;true 表示列表有多个容器时,等前一个容器重建完成了,再开始重建下一个。 terminationGracePeriodSeconds:等待容器优雅退出的时
解密OpenShift内部通信网络
中生代技术
10-29 885
上一篇:PaaS中OpenShift持久化存储的管理实践由于 OpenShift 网络通信概念较多,相对理解起来困难,为了方便读者能够清晰深入内部,在开始网络模型讲解之前,我们先尝试从 O...
OpenShift架构
weixin_39859635的博客
01-21 1900
来源 https://www.jianshu.com/p/10b08e8538ef
关于Open Shift(OKD) 中应用管理部署的一些笔记
山河已无恙
04-25 880
因为参加考试,会陆续分享一些OpenShift的笔记博文内容为介绍 openshift 不同的创建应用的方式,包括:基于 IS 创建应用基于镜像创建应用基于源码和 image 创建应用基于源码和 IS 创建应用基于模板创建应用学习环境为 openshift v3 的版本,有些旧这里如果专门学习 openshift ,建议学习 v4 版本理解不足小伙伴帮忙指正对每个人而言,真正的职责只有一个:找到自我。然后在心中坚守其一生,全心全意,永不停息。
OpenShift-sdn网络
虾米的博客
09-30 3825
openshift中,如果使用docker 命令启动一个docker容器,容器中的网络没有任何不同;唯一的不同就是docker网络拍的网桥名是ibr0而不是docker0 那运行在kubernetes/openshift中的pods呢? 一个pod是由一组相关的容器组成,pod中的容器共享网络接口/hostname;两个容器(两个进程)可以使用“localhost”交流。 O
openshift internal-registry 切换 sc
最新发布
05-25
要在 OpenShift 中切换内部注册表的 StorageClass(SC),可以遵循以下步骤: 1. 查看当前内部注册表的 StorageClass: ``` oc get cm image-registry-config -n openshift-image-registry -ojsonpath='{.data.storage}' ``` 2. 在输出中找到当前使用的 StorageClass 的名称,例如 `default`. 3. 创建一个新的 StorageClass,例如 `new-sc`, 并设置适当的参数(例如 storageClassName、provisioner、parameters 等)。 4. 更新内部注册表的配置以使用新的 StorageClass: ``` oc patch configs.imageregistry.operator.openshift.io/cluster -n openshift-image-registry --type merge --patch '{"spec":{"storage":{"pvc": {"claim": {"storageClassName": "new-sc"}}}}}' ``` 5. 验证配置是否已更新: ``` oc get cm image-registry-config -n openshift-image-registry -ojsonpath='{.data.storage}' ``` 在输出中,应该看到新的 StorageClass 的名称。现在内部注册表将使用新的 StorageClass 来创建持久卷声明(PVC)。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值