2. 程式人生 > >Kubernetes(k8s)中文文件 名詞解釋:Network Policy_Kubernetes中文社群

Kubernetes(k8s)中文文件 名詞解釋:Network Policy_Kubernetes中文社群

阿新 發佈:2018-12-27

Network Policy

Network Policy提供了基於策略的網路控制,用於隔離應用並減少攻擊面。它使用標籤選擇器模擬傳統的分段網路,並通過策略控制它們之間的流量以及來自外部的流量。

在使用Network Policy之前,需要注意

  • apiserver開啟extensions/v1beta1/networkpolicies
  • 網路外掛要支援Network Policy,如Calico、Romana、Weave Net和trireme等

策略

Namespace隔離

預設情況下,所有Pod之間是全通的。每個Namespace可以配置獨立的網路策略,來隔離Pod之間的流量。比如隔離namespace的所有Pod之間的流量(包括從外部到該namespace中所有Pod的流量以及namespace內部Pod相互之間的流量):

kubectl annotate ns <namespace> "net.beta.kubernetes.io/network-policy={\"ingress\": {\"isolation\": \"DefaultDeny\"}}"

注:目前,Network Policy僅支援Ingress流量控制。

Pod隔離

通過使用標籤選擇器(包括namespaceSelector和podSelector)來控制Pod之間的流量。比如下面的Network Policy

  • 允許default namespace中帶有role=frontend標籤的Pod訪問default namespace中帶有role=db標籤Pod的6379埠
  • 允許帶有project=myprojects標籤的namespace中所有Pod訪問default namespace中帶有role=db標籤Pod的6379埠
apiVersion: extensions/v1beta1
kind: NetworkPolicy
metadata:
  name: test-network-policy
  namespace: default
spec:
  podSelector:
    matchLabels:
      role: db
  ingress:
  - from:
    - namespaceSelector:
        matchLabels:
          project: myproject
    - podSelector:
        matchLabels:
          role: frontend
    ports:
    - protocol: tcp
      port: 6379

示例

以calico為例看一下Network Policy的具體用法。

首先配置kubelet使用CNI網路外掛

kubelet --network-plugin=cni --cni-conf-dir=/etc/cni/net.d --cni-bin-dir=/opt/cni/bin ...

安裝calio網路外掛

# 注意修改CIDR,需要跟k8s pod-network-cidr一致,預設為192.168.0.0/16
kubectl apply -f http://docs.projectcalico.org/v2.1/getting-started/kubernetes/installation/hosted/kubeadm/1.6/calico.yaml

首先部署一個nginx服務

$ kubectl run nginx --image=nginx --replicas=2
deployment "nginx" created
$ kubectl expose deployment nginx --port=80
service "nginx" exposed

此時,通過其他Pod是可以訪問nginx服務的

$ kubectl run busybox --rm -ti --image=busybox /bin/sh
Waiting for pod default/busybox-472357175-y0m47 to be running, status is Pending, pod ready: false

Hit enter for command prompt

/ # wget --spider --timeout=1 nginx
Connecting to nginx (10.100.0.16:80)
/ #

開啟default namespace的DefaultDeny Network Policy後,其他Pod(包括namespace外部)不能訪問nginx了:

$ kubectl annotate ns default "net.beta.kubernetes.io/network-policy={\"ingress\": {\"isolation\": \"DefaultDeny\"}}"

$ kubectl run busybox --rm -ti --image=busybox /bin/sh
Waiting for pod default/busybox-472357175-y0m47 to be running, status is Pending, pod ready: false

Hit enter for command prompt

/ # wget --spider --timeout=1 nginx
Connecting to nginx (10.100.0.16:80)
wget: download timed out
/ #

最後再建立一個執行帶有access=true的Pod訪問的網路策略

$ cat nginx-policy.yaml
kind: NetworkPolicy
apiVersion: extensions/v1beta1
metadata:
  name: access-nginx
spec:
  podSelector:
    matchLabels:
      run: nginx
  ingress:
  - from:
    - podSelector:
        matchLabels:
          access: "true"

$ kubectl create -f nginx-policy.yaml
networkpolicy "access-nginx" created


# 不帶access=true標籤的Pod還是無法訪問nginx服務
$ kubectl run busybox --rm -ti --image=busybox /bin/sh
Waiting for pod default/busybox-472357175-y0m47 to be running, status is Pending, pod ready: false

Hit enter for command prompt

/ # wget --spider --timeout=1 nginx 
Connecting to nginx (10.100.0.16:80)
wget: download timed out
/ #


# 而帶有access=true標籤的Pod可以訪問nginx服務
$ kubectl run busybox --rm -ti --labels="access=true" --image=busybox /bin/sh
Waiting for pod default/busybox-472357175-y0m47 to be running, status is Pending, pod ready: false

Hit enter for command prompt

/ # wget --spider --timeout=1 nginx
Connecting to nginx (10.100.0.16:80)
/ #

最後開啟nginx服務的外部訪問:

$ cat nginx-external-policy.yaml
apiVersion: extensions/v1beta1
kind: NetworkPolicy
metadata:
  name: front-end-access
  namespace: sock-shop
spec:
  podSelector:
    matchLabels:
      run: nginx
  ingress:
    - ports:
        - protocol: TCP
          port: 80

$ kubectl create -f nginx-external-policy.yaml

參考:https://feisky.gitbooks.io/kubernetes/concepts/network-policy.html

K8S中文社群微信公眾號

相關推薦

Kubernetesk8s中文 名詞解釋Network Policy_Kubernetes中文社群

Network Policy Network Policy提供了基於策略的網路控制,用於隔離應用並減少攻擊面。它使用標籤選擇器模擬傳統的分段網路,並通過策略控制它們之間的流量以及來自外部的流量。 在使用Network Policy之前,需要注意 apiserver開啟extensions/v1be

Kubernetesk8s中文 名詞解釋Resource Quotas_Kubernetes中文社群

Resource Quotas 資源配額(Resource Quotas)是用來限制使用者資源用量的一種機制。 它的工作原理為 資源配額應用在Namespace上,並且每個Namespace最多隻能有一個ResourceQuota物件 開啟計算資源配額後,建立容器時必須配置計算資源請求或限制(也可

Kubernetesk8s中文 名詞解釋Service Account_Kubernetes中文社群

Service Account Service account是為了方便Pod裡面的程序呼叫Kubernetes API或其他外部服務而設計的。它與User account不同 User account是為人設計的,而service account則是為Pod中的程序呼叫Kubernetes AP

Kubernetesk8s中文 名詞解釋PV/PVC/StorageClass_Kubernetes中文社群

介紹 PersistentVolume(PV)是叢集中已由管理員配置的一段網路儲存。 叢集中的資源就像一個節點是一個叢集資源。 PV是諸如卷之類的卷外掛,但是具有獨立於使用PV的任何單個pod的生命週期。 該API物件捕獲儲存的實現細節,即NFS,iSCSI或雲提供商特定的儲存系統。 Persist

Kubernetesk8s中文 名詞解釋DaemonSet_Kubernetes中文社群

DaemonSet DaemonSet保證在每個Node上都執行一個容器副本,常用來部署一些叢集的日誌、監控或者其他系統管理應用。典型的應用包括: 日誌收集,比如fluentd,logstash等 系統監控,比如Prometheus Node Exporter,collectd,New Relic

Kubernetesk8s中文 名詞解釋Ingress_Kubernetes中文社群

Ingress 術語 在本篇文章中你將會看到一些在其他地方被交叉使用的術語,為了防止產生歧義,我們首先來澄清下。 節點:Kubernetes叢集中的伺服器; 叢集:Kubernetes管理的一組伺服器集合; 邊界路由器:為區域網和Internet路由資料包的路由器,執行防火牆保護區域網絡; 叢集網

Kubernetesk8s中文 名詞解釋PodPreset_Kubernetes中文社群

PodPreset PodPreset用來給指定標籤的Pod注入額外的資訊,如環境變數、儲存卷等。這樣,Pod模板就不需要為每個Pod都顯式設定重複的資訊。 開啟PodPreset 開啟API settings.k8s.io/v1alpha1/podpreset 開啟准入控制 PodPreset

Kubernetesk8s中文 名詞解釋Security Context和PSP_Kubernetes中文社群

Security Context Security Context的目的是限制不可信容器的行為,保護系統和其他容器不受其影響。 Kubernetes提供了三種配置Security Context的方法: Container-level Security Context:僅應用到指定的容器 Pod-

Kubernetesk8s中文 名詞解釋Namespace_Kubernetes中文社群

Namespace Namespace是對一組資源和物件的抽象集合,比如可以用來將系統內部的物件劃分為不同的專案組或使用者組。常見的pods, services, replication controllers和deployments等都是屬於某一個namespace的(預設是default),而n

Kubernetesk8s中文 名詞解釋ThirdPartyResources_Kubernetes中文社群

ThirdPartyResources ThirdPartyResources是一種無需改變程式碼就可以擴充套件Kubernetes API的機制,可以用來管理自定義物件。每個ThirdPartyResource都包含以下屬性 metadata:跟kubernetesmetadata一樣 kind

Kubernetesk8s中文 名詞解釋Node_Kubernetes中文社群

Node Node是Pod真正執行的主機,可以物理機,也可以是虛擬機器。為了管理Pod,每個Node節點上至少要執行container runtime(比如docker或者rkt)、kubelet和kube-proxy服務。 Node管理 不像其他的資源(如Pod和Namespace),Node本

Kubernetesk8s中文 名詞解釋ReplicaSets_Kubernetes中文社群

什麼是ReplicaSet? ReplicaSet是下一代複本控制器。ReplicaSet和 Replication Controller之間的唯一區別是現在的選擇器支援。Replication Controller只支援基於等式的selector(env=dev或environment!=qa),

Kubernetesk8s中文 名詞解釋CronJob_Kubernetes中文社群

CronJob CronJob即定時任務,就類似於Linux系統的crontab,在指定的時間週期執行指定的任務。在Kubernetes 1.5,使用CronJob需要開啟batch/v2alpha1 API,即–runtime-config=batch/v2alpha1。 CronJob Spec

Kubernetesk8s中文 名詞解釋ConfigMap_Kubernetes中文社群

ConfigMap ConfigMap用於儲存配置資料的鍵值對,可以用來儲存單個屬性,也可以用來儲存配置檔案。ConfigMap跟secret很類似,但它可以更方便地處理不包含敏感資訊的字串。 ConfigMap建立 可以使用kubectl create configmap從檔案、目錄或者key-v

Kubernetesk8s中文 名詞解釋Secret_Kubernetes中文社群

Secret Secret解決了密碼、token、金鑰等敏感資料的配置問題,而不需要把這些敏感資料暴露到映象或者Pod Spec中。Secret可以以Volume或者環境變數的方式使用。 Secret有三種類型: Service Account:用來訪問Kubernetes API,由Kubern

Kubernetesk8s中文 名詞解釋StatefulSet_Kubernetes中文社群

StatefulSet StatefulSet是為了解決有狀態服務的問題(對應Deployments和ReplicaSets是為無狀態服務而設計),其應用場景包括 穩定的持久化儲存,即Pod重新排程後還是能訪問到相同的持久化資料,基於PVC來實現 穩定的網路標誌,即Pod重新排程後其PodName

Kubernetesk8s中文 名詞解釋 Volumes_Kubernetes中文社群

容器中的磁碟的生命週期是短暫的,這就帶來了一系列的問題,第一,當一個容器損壞之後,kubelet 會重啟這個容器,但是檔案會丟失-這個容器會是一個全新的狀態,第二,當很多容器在同一Pod中執行的時候,很多時候需要資料檔案的共享。Kubernete Volume解決了這個問題 Background背景

Kubernetesk8s中文 名詞解釋 Replication Controller_Kubernetes中文社群

什麼是Replication Controller Replication Controller 保證了在所有時間內,都有特定數量的Pod副本正在執行,如果太多了,Replication Controller就殺死幾個,如果太少了,Replication Controller會新建幾個,和直接建立的

Kubernetesk8s中文 名詞解釋 Labels_Kubernetes中文社群

標籤 標籤其實就一對 key/value ,被關聯到物件上,比如Pod,標籤的使用我們傾向於能夠標示物件的特殊特點,並且對使用者而言是有意義的(就是一眼就看出了這個Pod是尼瑪資料庫),但是標籤對核心系統是沒有直接意義的。標籤可以用來劃分特定組的物件(比如,所有女的),標籤可以在建立一個物件的時候直

Kubernetesk8s中文 名詞解釋 Services_Kubernetes中文社群

Overview(概述) Kubernetes Pod是平凡的,它門會被建立,也會死掉(生老病死),並且他們是不可復活的。 ReplicationControllers動態的建立和銷燬Pods(比如規模擴大或者縮小,或者執行動態更新)。每個pod都由自己的ip,這些IP也隨著時間的變化也不能持續依賴