一 Kubernetes網路策略 1.1 策略說明 為實現細粒度的容器間網路訪問隔離策略,Kubernetes發佈Network Policy,目前已升級為networking.k8s.io/v1穩定版本。 Network Policy的主要功能是對Pod間的網路通信進行限制和準入控制,設置方式為將 ...
一 Kubernetes網路策略
1.1 策略說明
為實現細粒度的容器間網路訪問隔離策略,Kubernetes發佈Network Policy,目前已升級為networking.k8s.io/v1穩定版本。 Network Policy的主要功能是對Pod間的網路通信進行限制和準入控制,設置方式為將Pod的Label作為查詢條件,設置允許訪問或禁止訪問的客戶端Pod列表。目前查詢條件可以作用於Pod和Namespace級別。 為了使用Network Policy,Kubernetes引入了一個新的資源對象Network Policy,供用戶設置Pod間網路訪問的策略。但僅定義一個網路策略是無法完成實際的網路隔離的,還需要一個策略控制器(Policy Controller)進行策略的實現。 策略控制器由第三方網路組件提供,目前Calico、Cilium、Kube-router、Romana、WeaveNet等開源項目均支持網路策略的實現。Network Policy的工作原理如下所示,policy controller需要實現一個API Listener,監聽用戶設置的Network Policy定義,並將網路訪問規則通過各Node的Agent進行實際設置(Agent則需要通過CNI網路插件實現)。
1.2 網路策略配置
網路策略的設置主要用於對目標Pod的網路訪問進行限制,在預設情況下對所有Pod都是允許訪問的,在設置了指向Pod的Network Policy網路策略之後,訪問Pod將會被限制。 示例1: [root@k8smaster01 study]# vi networkpolicy_01.yaml1 apiVersion: networking.k8s.io/v1 2 kind: NetworkPolicy 3 metadata: 4 name: test-network-policy 5 namespace: default 6 spec: 7 podSelector: 8 matchLabels: 9 role: db 10 policyTypes: 11 - Ingress 12 - Egress 13 ingress: 14 - from: 15 - ipBlock: 16 cidr: 172.17.0.0/16 17 except: 18 - 172.17.1.0/24 19 - namespacesSelector: 20 matchLabels: 21 project: mopoject 22 - podSelector: 23 matchLabels: 24 role: frontend 25 ports: 26 - protocol: TCP 27 port: 6379 28 egress: 29 - to: 30 - ipBlock: 31 cidr: 10.0.0.0/24 32 ports: 33 - protocol: TCP 34 port: 5978參數解釋:
- podSelector:用於定義該網路策略作用的Pod範圍,本例的選擇條件為包含“role=db”標簽的Pod。
- policyTypes:網路策略的類型,包括ingress和egress兩種,用於設置目標Pod的入站和出站的網路限制。
- ingress:定義允許訪問目標Pod的入站白名單規則,滿足from條件的客戶端才能訪問ports定義的目標Pod埠號。
- -from:對符合條件的客戶端Pod進行網路放行,規則包括基於客戶端Pod的Label、基於客戶端Pod所在的Namespace的Label或者客戶端的IP範圍。
- -ports:允許訪問的目標Pod監聽的埠號。
- egress:定義目標Pod允許訪問的“出站”白名單規則,目標Pod僅允許訪問滿足to條件的服務端IP範圍和ports定義的埠號。
- -to:允許訪問的服務端信息,可以基於服務端Pod的Label、基於服務端Pod所在的Namespace的Label或者服務端IP範圍。
- -ports:允許訪問的服務端的埠號。
- 該網路策略作用於Namespace“default”中含有“role=db”Label的全部Pod。
- 允許與目標Pod在同一個Namespace中的包含“role=frontend”Label的客戶端Pod訪問目標Pod。
- 允許屬於包含“project=myproject”Label的Namespace的客戶端Pod訪問目標Pod。
- 允許從IP地址範圍“172.17.0.0/16”的客戶端Pod訪問目標Pod,但是不包括IP地址範圍“172.17.1.0/24”的客戶端。
- 允許目標Pod訪問IP地址範圍“10.0.0.0/24”並監聽5978埠的服務。
1 - from: 2 - namespacesSelector: 3 matchLabels: 4 project: mopoject 5 - podSelector: 6 matchLabels: 7 role: frontend如上表示允許訪問目標Pod的來源客戶端Pod應具有如下屬性:屬於有“project=myproject”標簽的Namespace,並且有“role=frontend”標簽。
1.3 Namespace級別策略
在Namespace級別還可以設置一些預設的全局網路策略,以方便管理員對整個Namespace進行統一的網路策略設置。 示例1:預設禁止任何客戶端訪問該Namespace中的所有Pod。1 apiVersion: networking.k8s.io/v1 2 kind: NetworkPolicy 3 metadata: 4 name: default-deny 5 spec: 6 podSelector: {} 7 policyTypes: 8 - Ingress示例2:預設允許任何客戶端訪問該Namespace中的所有Pod。
1 apiVersion: networking.k8s.io/v1 2 kind: NetworkPolicy 3 metadata: 4 name: allow-all 5 spec: 6 podSelector: {} 7 ingress: 8 - {} 9 policyTypes: 10 - Ingress示例3:預設禁止該Namespace中的所有Pod訪問外部服務。
1 apiVersion: networking.k8s.io/v1 2 kind: NetworkPolicy 3 metadata: 4 name: default-deny 5 spec: 6 podSelector: {} 7 policyTypes: 8 - Egress示例4:預設允許該Namespace中的所有Pod訪問外部服務。
1 apiVersion: networking.k8s.io/v1 2 kind: NetworkPolicy 3 metadata: 4 name: allow-all 5 spec: 6 podSelector:{} 7 egress: 8 - {} 9 policyTypes: 10 - Egress示例5:預設禁止任何客戶端訪問該Namespace中的所有Pod,同時禁止訪問外部服務。
1 apiVersion: networking.k8s.io/v1 2 kind: NetworkPolicy 3 metadata: 4 name: default-deny 5 spec: 6 podSelector: {} 7 policyTypes: 8 - Ingress 9 - Egress
