OpenShift Security (12) - 用 RHACS 管理容器之间的网络访问策略(附视频)

已于 2024-06-27 10:03:02 修改
阅读量1.1k 收藏
点赞数
分类专栏: OpenShift 4 安全 DevOps 文章标签: 容器 网络
于 2021-12-22 18:15:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43902588/article/details/122087733
版权
OpenShift 4 同时被 3 个专栏收录
271 篇文章 78 订阅
订阅专栏
DevOps
89 篇文章 3 订阅
订阅专栏
安全
76 篇文章 6 订阅
订阅专栏

OpenShift 4.x HOL教程汇总
本文在 OpenShift 4.11 + RHACS 3.71.0 环境中进行验证。

文章目录

允许多个命名空间中的特定 Pod 相互访问

  1. 部署测试应用资源。
oc new-project project1
oc label namespace project1 name=project1
oc new-project project2
oc label namespace project2 name=project2
oc new-project project3
oc label namespace project3 name=project3
  
oc new-app -n project1 openshiftroadshow/parksmap --name=db
oc new-app -n project1 openshiftroadshow/parksmap --name=web
oc new-app -n project1 openshiftroadshow/parksmap --name=api
oc new-app -n project1 openshiftroadshow/parksmap --name=api-proxy
 
oc new-app -n project2 openshiftroadshow/parksmap --name=mail
oc new-app -n project2 openshiftroadshow/parksmap --name=db
oc new-app -n project2 openshiftroadshow/parksmap --name=monitoring
 
oc new-app -n project3 openshiftroadshow/parksmap --name=api
  1. 在 OpenShift 上运行以下 NetworkPolicy
---
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: protect-db
  namespace: project1
spec:
  ingress:
  - from:
    - podSelector:
        matchExpressions:
          - {key: deployment, operator: In, values: [api]}
    - namespaceSelector:
        matchLabels:
          name: project2
      podSelector:
        matchLabels:
          deployment: monitoring
  podSelector:
    matchLabels:
      deployment: db
  policyTypes:
  - Ingress
  - Egress
 
---
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: protect-api
  namespace: project1
spec:
  ingress:
  - from:
    - podSelector:
        matchExpressions:
          - {key: deployment, operator: In, values: [api-proxy,web]}
    - namespaceSelector:
        matchLabels:
          name: project2
      podSelector:
        matchLabels:
          deployment: monitoring
  egress:
  - to:
    - podSelector:
        matchExpressions:
          - {key: deployment, operator: In, values: [db]}
    - namespaceSelector:
        matchLabels:
          name: project3
      podSelector:
        matchLabels:
          deployment: api
  podSelector:
    matchLabels:
      deployment: api
  policyTypes:
  - Ingress
  - Egress
 
---
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: protect-db
  namespace: project2
spec:
  ingress:
  - from:
    - podSelector:
        matchLabels:
          deployment: monitoring
    - podSelector:
        matchLabels:
          deployment: mail
  podSelector:
    matchLabels:
      deployment: db
  policyTypes:
  - Ingress
  - Egress
 
---
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: protect-api
  namespace: project3
spec:
  ingress:
  - from:
    - namespaceSelector:
        matchLabels:
          name: project1
      podSelector:
        matchExpressions:
          - {key: deployment, operator: In, values: [api,web,api-proxy]}
    - namespaceSelector:
        matchLabels:
          name: project2
      podSelector:
        matchLabels:
          deployment: monitoring
  podSelector:
    matchLabels:
      deployment: api
  policyTypes:
  - Ingress
  1. 在 RHACS 控制台的 Network Graph 中选中 PROJECT1db,可以通过连线和箭头看出网络策略只允许从 PROJECT1apiPROJECT2monitoring 访问到PROJECT1db
    在这里插入图片描述
  2. 选中 PROJECT2api,可以看到与之相关的进出网络策略,从箭头防线可以看出网络访问策略包括 3 进 2 出。
    在这里插入图片描述
  3. 可以执行以下命令在一个 Pod 中访问目标 Pod ,通过联通结果确认和网络访问策略匹配。
oc project project1
oc exec $(oc get pod --no-headers -o name | grep api) -- curl -sI db.project1.svc.cluster.local:8080
oc exec $(oc get pod --no-headers -o name | grep api) -- curl -sI api.project3.svc.cluster.local:8080
oc exec $(oc get pod --no-headers -o name | grep web) -- curl -sI db.project1.svc.cluster.local:8080

oc project project2
oc exec $(oc get pod --no-headers -o name | grep monitoring) -- curl -sI api.project3.svc.cluster.local:8080
oc exec $(oc get pod --no-headers -o name | grep mail) -- curl -sI api.project3.svc.cluster.local:8080

oc project project3
oc exec $(oc get pod --no-headers -o name | grep api) -- curl -sI mail.project2.svc.cluster.local:8080

oc exec deploy/api -n project1 -- curl -sI db.project1.svc.cluster.local:8080
oc exec deploy/web -n project1 -- curl -sI db.project1.svc.cluster.local:8080
oc exec deploy/api -n project1 -- curl -sI api.project3.svc.cluster.local:8080

oc exec deploy/monitoring -n project2 -- curl -sI api.project3.svc.cluster.local:8080
oc exec deploy/mail -n project2 -- curl -sI api.project3.svc.cluster.local:8080

oc exec deploy/api -n project3 -- curl -sI mail.project2.svc.cluster.local:8080

在一个命名空间中,只允许具有相同标签的 Pod 之间访问

  1. 执行命令,创建测试应用
oc delete all --all
oc new-app --image=openshiftroadshow/parksmap --name=hello1 -l app.group=app-group-1
oc new-app --image=openshiftroadshow/parksmap --name=hello2 -l app.group=app-group-1
oc new-app --image=openshiftroadshow/parksmap --name=hello3 -l app.group=app-group-2
oc new-app --image=openshiftroadshow/parksmap --name=hello4 -l app.group=app-group-2
  1. 根据以下配置,分别针对 app-group-1 和 app-group-2 创建网络策略,只能让 app.group 标签相同的 Pod 之间相互访问。
    在这里插入图片描述
kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
  name: app-group-1-policy
  namespace: project1
spec:
  podSelector:
    matchLabels:
      app.group: app-group-1
  ingress:
    - from:
        - podSelector:
            matchLabels:
              app.group: app-group-1
  policyTypes:
    - Ingress
---
kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
  name: app-group-2-policy
  namespace: project1
spec:
  podSelector:
    matchLabels:
      app.group: app-group-2
  ingress:
    - from:
        - podSelector:
            matchLabels:
              app.group: app-group-2
  policyTypes:
    - Ingress
  1. 在 RHACS 的 Network Graph 中分别查看 hello1、hello2、hello3 和 hello4 能被哪些 Pod 访问。
    在这里插入图片描述
  2. 确认在 hello1 中只能访问 hello2
oc exec deploy/hello1 -n project1 -- curl -sI hello2:8080
oc exec deploy/hello1 -n project1 -- curl -sI hello3:8080
oc exec deploy/hello1 -n project1 -- curl -sI hello4:8080
  1. 确认在 hello3 中只能访问 hello4
oc exec deploy/hello3 -n project1 -- curl -sI hello1:8080
oc exec deploy/hello3 -n project1 -- curl -sI hello2:8080
oc exec deploy/hello3 -n project1 -- curl -sI hello4:8080

演示视频

视频

dawnsky.liu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
openshift-java-client, OpenShift REST API的Java客户端.zip
09-18
openshift-java-client, OpenShift REST API的Java客户端 OpenShift客户端 OpenShift REST API的Java客户端。 它几乎提供了 rhc-* 命令行 工具( 。创建/重命名域,创建/销毁应用程序,列出应用程序,列出可用墨盒,...
openshift-network-policies-as-multitenant:将网络策略应用于所选项目
03-08
Openshift-网络策略作为多租户 描述 该项目包含有助于部署多租户策略的脚本(当每个名称空间彼此隔离时)。 主要脚本是: to_new_projects_by_default.sh ,编辑默认项目模板,以将该策略应用于每个新项目。\ to_...
OpenShift Security (2) - 安装 Red Hat Advanced Cluster SecurityRHACS
多恩斯基的博客
12-07 1268
OpenShift 4.x HOL教程汇总》 本文在 OpenShift4.10环境中进行验证。 文章目录环境要求安装 ACS Operator创建 ACS 环境创建 Central 实例将 OpenShift 集群注册到 RHACS获取 Authentication Token创建 Secured Cluster 实例在 ACS 控制台查看 OpenShift 集群 环境要求 OpenShift 4.7/OpenShift 4.8/OpenShift 4.9 集群 安装 ACS Operator 在
OpenShift Security (9) - 用 RHACS 扫描 Log4j 安全漏洞,屏蔽不安全镜像部署(视频
多恩斯基的博客
12-16 1264
OpenShift 4.x HOL教程汇总》 说明:本文已经在 OpenShift 4.9 + RHACS 环境中验证 RHACS 采用的是 “Kubernetes 的 Admission Controller 技术 + 策略库” 的机制对使用的镜像进行安全扫描。 本文在 RHACS 中为 “Log4j” 安全漏洞对应的 “CVE-2021-44228” 配置单独的系统策略,并将策略运用在 build 和 deploy 镜像阶段。 在这里插入图片描述 ........................
OpenShift 4 - DevSecOps (3) - 用 RHACS 精细化管理云原生应用安全(视频
多恩斯基的博客
04-02 3562
OpenShift 4.x HOL教程汇总》 本文在 OpenShift 4.10 环境中进行验证。 在基于 DevSecOps 的应用发布过程中,我们可以使用 RHACS策略对镜像进行安全扫描,当发现危险度较高的 CVE 的时候 RHACS 可以阻断 CI/CD 应用发布过程。 但是不同的应用镜像依赖的运行环境不同,修复过程也不尽相同。另外有些时候虽然能发现 CVE 漏洞,但是可能还没有官方修复方案。这些时候就需要针对特定应用镜像包含的特定 CVE 进行精细化处理。 参照《OpenShift 4
OpenShift Security (1) - 红帽多集群安全管理 RHACS 的主要功能和技术架构
多恩斯基的博客
12-08 730
Red Hat Advanced Cluster Security for Kubernetes (RHACS) - 红帽高级集群安全是企业级的 Kubernetes 原生容器安全防护解决方案,可帮助用户更安全地构建、部署和运行云原生应用。
OpenShift Security (13) - 用 RHACS 为应用自动生成 NetworkPolicy
多恩斯基的博客
01-05 502
NP-Guard 是 IBM 发起的一个开源项目,用来自动创建 Kubernetes (K8s) 的 network policy 以提高云原生应用网络安全。在 RHACS 3.73.1 中内置了 NP-Guard 的核心功能,使用 RHACS 的客户端可以对本地目录中的 Service, ConfigMap, Pod, Deployment, ReplicaSet, Job, DaemonSet, 和 StatefulSet 的 manifest 进行自动分析,并生成最小范围的 NetworkPolic
openshift-jee-sample:将在openshift环境中部署的示例应用程序
04-01
openshift-jee-sample 将在openshift环境中部署的示例应用程序 注意:要使用maven构建该存储库,必须指定“ -Popenshift”,例如“ mvn clean package -Popenshift
openshift-diy-spring-boot-sample:openshift-diy-spring-boot-sample
06-21
可以在以下位置找到 OpenShift diy墨盒文档: 先决条件 在开始构建应用程序之前,我们需要安装一个 OpenShift 免费帐户和客户端工具。 第 1 步:创建 DIY 应用程序 要使用客户端工具创建应用程序,请键入以下命令: ...
OpenShift Security (18) - 定制 RHACS 安全策略,阻断生产集群使用高风险 Registry(视频
多恩斯基的博客
07-28 378
RHACS 中自带丰富的安全策略,可以帮助用户实现从镜像到容器、从网络到宿主机操作系统等各方面的安全检查。用户也可以定制个性化的策略来实现特性安全检查需求。 本示例将创建一个定制安全策略,该策略只针对 “生产集群” ,它不允许在生产环境中部署来自安全高风险的 docker.io 的容器镜像。............
OpenShift Security 16 - 用 RHACS 为加固应用镜像安全提供线索(视频
多恩斯基的博客
01-23 1038
OpenShift 4.x HOL教程汇总》 本文在 OpenShift 4.8 + RHACS 环境中进行验证。 演示视频 文章目录部署测试应用镜像漏洞分析应用镜像安全加固 部署测试应用 向 OpenShift 导入一个老版本的 “httpd” 镜像以作为安全漏洞较多的基础镜像。 $ oc import-image httpd:2.4-el7-120 --from=registry.redhat.io/rhscl/httpd-24-rhel7:2.4-120 --confirm -n openshi
OpenShift Security 15 - 用 RHACS 的安全策略管理运行中的容器安全
多恩斯基的博客
01-15 2860
OpenShift 4.x HOL教程汇总》 本文在 OpenShift4.9 + RAHACS 环境中进行验证。 创建 RHACS 的 Policy 创建一个 Policy 的 JSON 文件,内容如下。Policy 只针对 OpenShift 的 Production 项目中的资源识别容器是否运行 curl 命令,一旦发现有 curl 命令运行,立即终止 Pod 运行。 { "policies": [ { "id": "e0a224d9-ca08-
OpenShift Security 14 - 使用 RHACS 中的进程基线功能找出在容器中运行的风险操作(视频
多恩斯基的博客
01-15 2874
RHACM 是红帽面向容器云的高级集群管理平台,可以在混合云环境中统一管理OpenShift/Kubernetes 容器云的产品。本视频演示使用 RHACM 在 VMware 中使用 IPI方法自动安装一个 OpenShift 集群的过程。
openshift常用操作命令
weixin_42262352的博客
04-23 2795
#通过CLI登陆openshift oc login https://10.19.169.XX:8443 -u username -p password #退出登陆 oc logout #查看所有的proeject信息 oc projects #创建新的project oc new-project myproject #切换project空间到myproject下 oc project mypro...
【内网安全】 域防火墙&入站出站规则&不出网隧道上线&组策略对象同步
最新发布
qq_53058639的博客
01-26 556
解决网络不通讯问题代理与隧道技术:代理:流量转发至跳板机,可以是服务器或者肉鸡,最主要的特征是,无论代理后面挂了几个设备,代理对外只表现为一个设备。隧道:是通过特定的通讯方法,直接找到这个目标reverse_tcp:反向 后门主动连接自己服务器 目标防火墙 出bind_tcp:正向 自己服务器主动连接后门 目标防火墙 入。
OpenShift - 利用容器的特权配置实现对OpenShift攻击,以及如何使用 PSA 和 RHACS 防范风险(视频
多恩斯基的博客
11-03 339
本文是《容器安全 - 利用容器的特权配置实现对Kubernetes攻击》的后续篇,来介绍 在 OpenShift 环境中的容器特权配置和攻击过程和 Kubernetes 环境的差异。
DO280OpenShift命令及故障排查--访问资源和资源类型
IT民工金鱼哥,专注运维技术。
06-21 341
第四章 OpenShift命令及故障排查--访问资源和资源类型
OpenShift常用管理命令杂记
qingyang0320的专栏
06-22 462
简单记录平时常用的OpenShift命令
精通OpenShift:使用OpenShift Origin 3.9部署与管理容器应用
"Learn OpenShift: Deploy, build, ..."Learn OpenShift" 是一本面向希望深入了解和使用OpenShift的技术人员的实用指南,旨在提供一个全面的教程,帮助读者在OpenShift平台上实现应用程序的部署、构建、管理和迁移。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值