K8S Calico

NetworkPolicy是kubernetes對pod的隔離手段，是宿主機上的一系列iptables規則。

Egress 表示出站流量，就是pod作為客戶端訪問外部服務，pod地址作為源地址。策略可以定義目標地址或者目的端口
Ingress 表示入站流量，pod地址和服務作為服務端，提供外部訪問。pod地址作為目標地址。策略可以定義源地址和自己端口

官網
https://docs.projectcalico.org/v3.1/getting-started/kubernetes/

我們這里使用的是 flannel 構建 K8S 網絡，使用 Calico 構建網絡規則

mkdir ~/networkpolicy ; cd ~/networkpolicykubectl apply -f https://docs.projectcalico.org/v3.1/getting-started/kubernetes/installation/hosted/canal/rbac.yaml
kubectl apply -f https://docs.projectcalico.org/v3.1/getting-started/kubernetes/installation/hosted/canal/canal.yaml
kubectl get pods -n kube-system# 創建兩個命名空間 dev 和 prod 進行測試
kubectl create namespace dev
kubectl create namespace prodvi pod-a.yaml
# 內容如下
apiVersion: v1
kind: Pod
metadata:name: pod1
spec:containers:- name: myappimage: ikubernetes/myapp:v1# 在命名空間 dev 創建 pod1
kubectl apply -f pod-a.yaml -n dev
kubectl get pods -n dev -o wide
# 運行結果:
NAME   READY   STATUS    RESTARTS   AGE   IP           NODE
pod1   1/1     Running   0          14m   10.244.2.2   node2# 在命名空間 prod 創建 pod1
kubectl apply -f pod-a.yaml -n prod
kubectl get pods -n prod -o wide
# 運行結果:
NAME   READY   STATUS    RESTARTS   AGE   IP           NODE
pod1   1/1     Running   0          14m   10.244.1.2   node1# 測試網絡
curl 10.244.1.2    # 正常訪問
curl 10.244.2.2    # 正常訪問kubectl exec pod1 -it -n prod -- /bin/sh
ping 10.244.2.2   # 鏈路正常

Ingress

# Ingress 默認禁止所有的入站流量
vi ngress-def.yaml 
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:name: deny-all-ingress
spec:podSelector: {}policyTypes:- Ingresskubectl apply -f ingress-def.yaml -n dev# 查看 networkpolicy 規則
kubectl get netpol -n devcurl 10.244.2.2    # 命名空間 dev  pod1 無法訪問curl 10.244.1.2    # 命名空間 prod pod1 正常訪問# 開放所有的入站流量
vi ingress-def.yaml
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:name: deny-all-ingress
spec:podSelector: {}ingress:- {}policyTypes:- Ingresskubectl apply -f ingress-def.yaml -n devcurl 10.244.1.2   # 命名空間 prod pod1 正常訪問curl 10.244.2.2   # 命名空間 dev pod1 正常訪問

通過規則限制入站流量

kubectl delete netpol deny-all-ingress -n devkubectl label pods pod1 app=myapp -n dev# 添加網絡規則
vi allow-netpol-demo.yaml
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:name: allow-myapp-ingress
spec:podSelector:matchLabels:app: myapp           # 選擇app=myapp 的標簽放行ingress:- from:- ipBlock:              # 地址段cidr: 10.244.0.0/16 # 允許這個地址段訪問except:             # 排除一下地址不可以訪問- 10.244.1.2/32ports:- protocol: TCPport: 80              # 允許訪問80端口- protocol: TCPport: 443kubectl apply -f allow-netpol-demo.yaml -n devkubectl get netpol -n devcurl 10.244.2.2:80    # 命名空間 dev pod1 正常訪問curl 10.244.2.2:443   # NetworkPolicy 放行，沒有開放 443 端口，服務器拒絕
curl: (7) Failed connect to 10.244.2.2:443; Connection refusedcurl 10.244.2.2:6443  # 卡住，被 NetworkPolicy 拒絕

Egress

# 默認限制所有的出站流量
vi egrees-def.yaml 
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:name: deny-all-egress
spec:podSelector: {}policyTypes:- Egresskubectl apply -f egrees-def.yaml -n prodkubectl get pods -n kube-system -o wide
# 選取一個 coredns 的 pod ipkubectl exec pod1 -it -n prod -- /bin/sh
ping 10.244.0.4    # 無法正常 ping 通# 放行所有的出站流量
vi egrees-def.yaml 
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:name: deny-all-egress
spec:podSelector: {}egress:- {}policyTypes:- Egresskubectl apply -f egrees-def.yaml -n prodkubectl exec pod1 -it -n prod -- /bin/sh
ping 10.244.0.4    # 正常 ping 通

轉載于:https://www.cnblogs.com/klvchen/p/10000687.html

本文來自互聯網用戶投稿，該文觀點僅代表作者本人，不代表本站立場。本站僅提供信息存儲空間服務，不擁有所有權，不承擔相關法律責任。
如若轉載，請注明出處：http://www.pswp.cn/news/395950.shtml
繁體地址，請注明出處：http://hk.pswp.cn/news/395950.shtml
英文地址，請注明出處：http://en.pswp.cn/news/395950.shtml

如若內容造成侵權/違法違規/事實不符，請聯系多彩編程網進行投訴反饋email:809451989@qq.com，一經查實，立即刪除！