【Linux39-6】k8s部署网络插件Calico、选择器to from、创建网络策略(入站与出站策略)

最新推荐文章于 2024-05-08 17:50:11 发布
最新推荐文章于 2024-05-08 17:50:11 发布
阅读量501 收藏 2
点赞数
分类专栏: Kubernetes 文章标签: ingress calico kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46069582/article/details/114040660
版权
文章目录1. Calico1.1 简介1.2 网络架构2. 部署网络插件Calico2.1 准备2.2 安装3. 网络策略 NetworkPolicy3.1 隔离和非隔离的 Pod3.2 选择器 to 和 from3.3 字段详解4. 创建网络策略4.1 拒绝访问指定服务4.2 允许指定pod访问服务4.3 禁止 namespace 中所有pod之间的相互访问4.4 禁止其他 namespace 访问服务4.5 允许指定namespace访问服务4.6 允许外网访问服务1. Calico1.1 简介
摘要由CSDN通过智能技术生成

文章目录

1. Calico


1.1 简介


Calico 是一个安全的 L3 网络和网络策略驱动。

部署calico官方详解

  • flannel实现的是网络通信 , calico的特性是在pod之间的隔离。
  • 通过BGP路由,但大规模端点的拓扑计算和收敛往往需要一定的时间和
    计算资源。
  • 纯三层的转发,中间没有任何的NAT和overlay,转发效率最好。
  • Calico仅依赖三层路由可达。Calico 较少的依赖性使它能适配所有VM、Container、白盒或者混合环境场景。

在这里插入图片描述

1.2 网络架构


Felix:监听ECTD中心的存储获取事件,用户创建pod后, Felix负责将其网卡、IP、 MAC都设置好,然后在内核的路由表里面写一条,注明这个IP应该到这张网卡。同样如果用户制定了隔离策略,Felix同样 会将该策略创建到ACL中,以实现隔离。

BIRD:一个标准的路由程序,它会从内核里面获取哪-些IP的路由发生了 变化,然后通过标准BGP的路由协议扩散到整个其他的宿主机上,让外界都知道这个IP在这里,路由的时候到这里来。

在这里插入图片描述

2. 部署网络插件Calico


2.1 准备


之前安装过Flannel插件,需要清理相关信息:

master端:

kubectl delete -f kube-flannel.yml

所有节点执行:

mv /etc/cni/net.d/10-flannel.conflist /mnt/

2.2 安装


1.建立目录

mkdir calico
cd calico/

2.下载yaml文件:

官网:wget https://docs.projectcalico.org/manifests/calico.yaml

这里使用自己定义的部署文件,还是在官网基础上修改的
#v3.16.1版本
需要修改一下内容及镜像版本
            - name: CALICO_IPV4POOL_IPIP
              value: "off"

3.部署

kubectl apply -f calico.yaml

在这里插入图片描述
在这里插入图片描述

3. 网络策略 NetworkPolicy


如果你希望在 IP 地址或端口层面(OSI 第 3 层或第 4 层)控制网络流量, 则你可以考虑为集群中特定应用使用 Kubernetes 网络策略(NetworkPolicy)。NetworkPolicy 是一种以应用为中心的结构,允许你设置如何允许 Pod 与网络上的各类网络“实体” (我们这里使用实体以避免过度使用诸如“端点”和“服务”这类常用术语, 这些术语在 Kubernetes 中有特定含义)通信。

Pod 可以通信的 Pod 是通过如下三个标识符的组合来辩识的:

  • 其他被允许的 Pods(例外:Pod 无法阻塞对自身的访问)
  • 被允许的命名空间
  • IP 组块

3.1 隔离和非隔离的 Pod


默认情况下,Pod 是非隔离的,它们接受任何来源的流量。

Pod 在被某 NetworkPolicy 选中时进入被隔离状态。 一旦名字空间中有 NetworkPolicy 选择了特定的 Pod,该 Pod 会拒绝该 NetworkPolicy 所不允许的连接。 (名字空间下其他未被 NetworkPolicy 所选择的 Pod 会继续接受所有的流量)

网络策略不会冲突,它们是累积的。 如果任何一个或多个策略选择了一个 Pod, 则该 Pod 受限于这些策略的 入站(Ingress)/出站(Egress)规则的并集。因此评估的顺序并不会影响策略的结果。

为了允许两个 Pods 之间的网络数据流,源端 Pod 上的出站(Egress)规则和 目标端 Pod 上的入站(Ingress)规则都需要允许该流量。 如果源端的出站(Egress)规则或目标端的入站(Ingress)规则拒绝该流量, 则流量将被拒绝

3.2 选择器 to 和 from

可以在 ingress 的 from 部分或 egress 的 to 部分中指定四种选择器:

podSelector: 此选择器将在与 NetworkPolicy 相同的名字空间中选择特定的 Pod,应将其允许作为入站流量来源或出站流量目的地。

namespaceSelector:此选择器将选择特定的名字空间,应将所有 Pod 用作其 入站流量来源或出站流量目的地。

namespaceSelector 和 podSelector: 一个指定 namespaceSelector 和 podSelector 的 to/from 条目选择特定名字空间中的特定 Pod。

3.3 字段详解


必需字段:与所有其他的 Kubernetes 配置一样,NetworkPolicy 需要 apiVersionkindmetadata 字段

spec:NetworkPolicy 规约 中包含了在一个名字空间中定义特定网络策略所需的所有信息。

podSelector:每个 NetworkPolicy 都包括一个 podSelector,它对该策略所 适用的一组 Pod 进行选择。示例中的策略选择带有 “role=db” 标签的 Pod。 空的 podSelector 选择名字空间下的所有 Pod。

policyTypes: 每个 NetworkPolicy 都包含一个 policyTypes 列表,其中包含 IngressEgress 或两者兼具。policyTypes 字段表示给定的策略是应用于 进入所选 Pod 的入站流量还是来自所选 Pod 的出站流量,或两者兼有。 如果 NetworkP

最低0.47元/天 解锁文章
sdsnzy_9
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
k8s网络插件calico自定义资源文件custom-resources.yaml
03-15
复制于官网:https://docs.tigera.io/calico/3.25/getting-started/kubernetes/quickstart
【操作方法】windows防火墙添加入站规则方法
热门推荐
神秘人的博客
02-28 2万+
注意介绍windows防火墙对主机的添加策略的步骤
calico网络原理、组网方式和使用
Yonx
09-16 1万+
calico网络
内网安全【2】——域防火墙/入站规则/不网隧道上线/组策略对象同步
weixin_42090431的博客
05-08 515
进行封装网)(网络里面有网络防护,防火墙设置让你不能正常访问网络 但有些又能正常访问,利用不同的协议tcp udp 以及连接的方向:正向、反向)建立节点后续操作) (网络设置导致的网络不通 一个A学校 一个B学校 压根不在一个网络 硬性条件决定网络不通)作为中间人和两边通信。入站(相对于这台主机而言,进来的网络入站(相对于这台主机而言,去的网络)以自身的防火墙为参考 以下答案(入站规则)1、单机-防火墙-限制端口入站。单机-防火墙-限制端口入站。单机-防火墙-限制协议入站
calico多租户网络隔离和部分租户业务隔离方案
weixin_42688255的博客
01-19 1632
calico网络隔离方案摘要一.前提条件二.Ingress入口网关2.1 不同namespace间的多租户网络隔离2.1.1 创建frontend, backend, client, and management-ui 等应用2.1.2 启用隔离策略2.1.3 增加一个授权策略以允许UI应用访问stars和client命名空间中的服务2.1.4 创建一个backend-policy.yaml的授权...
云原生内容分享(二十四):云原生 EgressGateway,适用于 Calico,Flannel 和 Spiderpool 等 CNI 的口网关
之乎者也·的博客
02-10 1013
左侧节点被 EgressPolicy 策略命中的 Pod 流量,会通过 iptabels, route, ipset 规则并通过 vxlan 转发到网关节点,然后从网关节点将源 IP 转为 Egress IP 离开集群。稍后可以通过创建 EgressPolicy CR 来选择可使用的 EgressGateway,并通过 label 匹配业务 Pod,使业务流量通过网关节点离开集群。如下图集群 B 中的 Pod 为一组应用,管理员希望右侧同一业务组的 Pod 集群的流量都使用特定 IP。
网络安全策略
liuhuan2099的专栏
12-17 7649
问题:什么是访问控制策略?访问控制策略是什么意思?访问控制策略网络安全防范和保护的主要策略,其任务是保证网络资源不被非法使用和非法访问。各种网络安全策略必须相互配合才能真正起到保护作用,而访问控制是保证网络安全最重要的核心策略之一。访问控制策略包括入网访问控制策略、操作权限控制策略、目录安全控制策略、属性安全控制策略网络服务器安全控制策略网络监测、锁定控制策略和防火墙控制策略等7个方面的
坑人,彻底明白:Linux服务器:k8sKubernetes)安装网络插件calico无法下载,无法启动的问题解决:
01-13
解决地址如下: ...4. 比如我知道了,像我的k8s对应的calico 3.20版本以上。 5. 因为 服务器没有翻墙,是无论如何都下载不下来镜像的。(除非特别低版本的 calico) 6. 所以需要去下载 离线的docker文件。
k8s-calico网络容器镜像包
最新发布
06-26
部署k8scalico网络时需要的calico镜像包,需要本地上传,导入使用
kubernetes1.25网络插件calico离线包
12-18
kubernetes1.25网络插件calico离线包,包含calico.yml文件,如果网络不通可以离线安装 1、calico~cni~v3.24.3.tar.gz 2、calico~kube~controllers~v3.24.3.tar.gz 3、calico~node~v3.24.3.tar.gz calico.yml命令:...
calico-3.9.0.tar.gz
10-11
calico-3.9.0 镜像包
calico容器镜像
05-21
calico容器分析,对于读者学习calico原理有非常大的帮助。
calico-3.10.2.yaml
02-12
使用 下载yaml文件到/tmp下 kubectl apply -f /tmp/calico-3.10.2.yaml 验证: kubectl get pod -n kube-system
calico3.9.6离线镜像包.zip
03-07
calico3.9.6安装所需的镜像,需要安装的可以下载,其中包括:kube-controllers:v3.9.6、calico/cni:v3.9.6、pod2daemon-flexvol:v3.9.6、calico/node:v3.9.6、具体用法为docker load <文件名即可
k8s网络插件calico
03-15
网络插件calico的yaml文件,复制于官网https://docs.tigera.io/calico/3.25/getting-started/kubernetes/quickstart
k8s-高可用部署-calico插件
因上努力,果上随缘。但行好事,莫问前程。
04-27 2720
kubernetes高可用部署参考:Creating Highly Available Clusters with kubeadm | KubernetesGitHub - kubernetes-sigs/kubespray: Deploy a Production Ready Kubernetes ClusterGitHub - wise2c-devops/breeze: Deploy a Production Ready Kubernetes Cluster with graphical interfa
域防火墙&入站规则&不网隧道上线
尘玥的故事
09-18 1207
背景介绍:域控通过组策略设置防火墙规则同步后,域内用户主机被限制TCP网,其中规则为规则,安全研究者通过入站取得SHELL权限,需要对其进行上线控制。windows主机用工具把传输的tcp协议数据转为icmp协议数据(向下兼容)进行传输到攻击主机的特定端口(你设置的监听端口)协议参考链接:https://www.cnblogs.com/fzz9/p/8964513.html。msf启用监听本地的特定端口(你自己设置的那个)设置反向连接的后门连接本地的3333端口。:你的服务端去请求别人的服务端。
k8s部署calico网络
05-28
要在 Kubernetes 集群上部署 Calico 网络,可以按照以下步骤进行操作: 1. 在 Kubernetes 集群上安装 Calico CNI 插件。可以使用以下命令: ``` kubectl apply -f https://docs.projectcalico.org/v3.20/manifests/calico.yaml ``` 2. 等待 Calico 插件部署完成。可以使用以下命令检查 Calico 插件的状态: ``` kubectl get pods -n kube-system -l k8s-app=calico-node ``` 如果所有的 Calico 节点都处于 `Running` 状态,那么插件已经成功部署。 3. 配置 Calico 网络策略。可以使用以下命令启用 Calico 网络策略: ``` kubectl apply -f https://docs.projectcalico.org/v3.20/manifests/calico-network-policy.yaml ``` 等待 Calico 网络策略部署完成。 4. 部署测试 Pod 进行测试。可以使用以下 YAML 文件创建一个测试 Pod: ``` apiVersion: v1 kind: Pod metadata: name: test-pod spec: containers: - name: test-container image: nginx ports: - containerPort: 80 ``` 使用以下命令创建测试 Pod: ``` kubectl apply -f test-pod.yaml ``` 等待测试 Pod 运行并验证是否可以访问它。 这样就完成了在 Kubernetes 集群上部署 Calico 网络的过程。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值