2. 程式人生 > >藉助 Calico,管窺 Kubernetes 網路策略_Kubernetes中文社群

藉助 Calico,管窺 Kubernetes 網路策略_Kubernetes中文社群

阿新 發佈:2018-12-27

Kubernetes 提出了一系列 CXI 的標準容器介面,其中的 CNI 以外掛方式支援多種網路。新增的 networkpolicy API 物件,提供了對網路策略的支援,本文以 Calico 為例,實際操作一個網路策略的建立和測試。

環境準備

  • 一個 Kubernetes 叢集
  • Kubelet 和 API Server 都開啟了 --allow_privileged=true
  • Kubelet 指定使用 CNI :--network-plugin=cni
  • 為了避免某些不可描述的網路設施的影響,建議下載幾個映象
    • quay.io/calico/node:v1.0.2
    • calico/cni:v1.5.6
    • calico/kube-policy-controller:v0.5.2
    • calico/ctl:v1.0.2

執行 Calico

  • 下載 http://docs.projectcalico.org/v2.0/getting-started/kubernetes/installation/hosted/calico.yaml
  • 如果用私庫映象,需要修改其中的幾個映象地址
  • 修改 data/etcd_endpoints 的資料為可訪問的 etcd 的地址。
kubectl create -f calico.yaml

這裡在 kube-system 中建立了一個 DaemonSet 和一個 Deployment,分別用於提供 CNI 支援和網路策略支援。

$ kubectl get deployment,daemonset,svc --all-namespaces                                          [9:55:14]
NAMESPACE     NAME                              DESIRED   CURRENT   UP-TO-DATE   AVAILABLE   AGE
kube-system   deploy/calico-policy-controller   1         1         1            1           10h
 


NAMESPACE     NAME             DESIRED   CURRENT   READY     NODE-SELECTOR   AGE
kube-system   ds/calico-node   2         2         2         <none>          10h

NAMESPACE   NAME             CLUSTER-IP        EXTERNAL-IP   PORT(S)   AGE
default     svc/kubernetes   172.200.0.1       <none>        443/TCP   19h
default     svc/nginx        172.200.183.204   <none>        80/TCP    9h

網路策略

為測試效果,我們首先建立一個 Namespace

kubectl create ns policy

然後是 Nginx 部署和服務:

---
kind: ReplicationController
apiVersion: v1
metadata:
  name: nginx
  labels:
    name: nginx
spec:
  replicas: 1
  selector:
    name: nginx
  template:
    metadata:
      labels:
        name: nginx
        app: nginx
    spec:
      containers:
      - name: nginx
        image: nginx
        ports:
        - containerPort: 80
          protocol: TCP

---
kind: Service
apiVersion: v1
metadata:
  name: nginx
  labels:
    name: nginx
spec:
  ports:
  - protocol: TCP
    port: 80
    targetPort: 80
  selector:
    name: nginx

然後我們用 alpine 映象測試一下對這一服務進行訪問:

kubectl run alpine --rm -it --image=alpine sh

執行成功後,在 Alpine 的 Shell 中輸入:

wget -O - -T 5 http://nginx

會出現 Nginx 的預設頁面的程式碼。

接下來我們給 Default Namespace 加一個預設拒絕訪問的註解:

$ kubectl annotate ns default "net.beta.kubernetes.io/network-policy={\"ingress\": {\"isolation\": \"DefaultDeny\"}}"

重複測試過程,會發現超時錯誤。

我們來建立一條策略:

kind: NetworkPolicy
apiVersion: extensions/v1beta1
metadata:
  name: access-nginx
spec:
  podSelector:
    matchLabels:
      run: nginx
  ingress:
    - from:
      - podSelector:
          matchLabels:
            access: "true"

很容易理解,對於符合 “run=nginx” 的 Pod,只有 “access=true” 的 Pod 能夠訪問

給 Alpine 帶上標籤重新執行:

kubectl run alp --image=alpine --labels="access=true" --rm -ti sh

重新 wget,會發現訪問能力已經恢復。

安裝方法來自 Calico 官網。

這只是一個很入門的介紹,後續會有更多進一步的嘗試。

相關推薦

藉助 Calico管窺 Kubernetes 網路策略_Kubernetes中文社群

Kubernetes 提出了一系列 CXI 的標準容器介面,其中的 CNI 以外掛方式支援多種網路。新增的 networkpolicy API 物件,提供了對網路策略的支援,本文以 Calico 為例,實際操作一個網路策略的建立和測試。 環境準備 一個 Kubernetes 叢集 Kubel

藉助 Calico管窺 Kubernetes 網路策略

Kubernetes 提出了一系列 CXI 的標準容器介面,其中的 CNI 以外掛方式支援多種網路。新增的 networkpolicy API 物件,提供了對網路策略的支援,本文以 Calico 為例,實際操作一個網路策略的建立和測試。 環境準備 一個 Kuberne

基於drone的CI/CD對接kubernetes實踐教程_Kubernetes中文社群

CI 概述 用一個可描述的配置定義整個工作流 程式設計師是很懶的動物,所以想各種辦法解決重複勞動的問題,如果你的工作流中還在重複一些事,那麼可能就得想想如何優化了 持續整合就是可以幫助我們解決重複的程式碼構建,自動化測試,釋出等重複勞動,通過簡單一個提交程式碼的動作,解決接下來要做的很多事。

Kubernetes成立StackPoint.io與GitLab合作推出Kubernetes解決方案_Kubernetes中文社群

GitLab與Kubernetes成立的StackPoint.io合作,連手推出一站式Kubernetes解決方案,加速企業在生產環境中使用Kubernetes的速度,GitLab表示,Kubernetes讓開發者能在不同雲端環境中管理應用程式,或根據流量情況,動態伸縮硬體資源。 GitLab

不止軟體廠商網路廠商思科也來分割 Kubernetes 市場蛋糕_Kubernetes中文社群

不止大型軟體廠商,現在網路廠商也開始搶佔Kubernetes市場。其中網路大廠思科在近日就宣佈,以Kubernetes專案為基礎,推出了思科容器平臺(Cisco Container Platform)。該服務將在今年4月搶先支援自主研發的超融合架構HyperFlex 3.0,並且在今年夏天開始

Kubernetes網路策略到安全策略_Kubernetes中文社群

編者注:今天的文章由 Bernard Van De Walle( Aporeto 公司 Kubernetes 專案帶頭人)撰寫,文章描述如何使用新的方法來實現 Kubernetes 網路策略。 Kubernetes 網路策略 Kubernetes 支援網路策略的新 API,為隔離應用和減少攻擊

kubeadm原始碼分析(內含kubernetes離線包三步安裝)_Kubernetes中文社群

k8s離線安裝包 三步安裝,簡單到難以置信 kubeadm原始碼分析 說句實在話,kubeadm的程式碼寫的真心一般,質量不是很高。 幾個關鍵點來先說一下kubeadm乾的幾個核心的事: kubeadm 生成證書在/etc/kubernetes/pki目錄下 kubeadm 生成static

Docker EE 2.0版本釋出完美支援Kubernetes容器編排_Kubernetes中文社群

儘管創始人剛離開Docker公司,但Docker仍持續版本更新計劃。Docker最近釋出了Docker企業版的2.0版,主打可以跨OS、跨雲的企業級容器管理平臺,也強調可以通過Kubernetes來管理跨雲容器排程。 Docker去年10月預告,將會再下一個版本支援Kubernetes 2.

Helm 成功逆襲脫離Kubernetes被CNCF納入麾下_Kubernetes中文社群

許多開發者在使用Kubernetes時,都會利用其內部的Helm,管理Kubernetes Charts,通過Helm工具,使用者可以簡化Kubernetes應用的部署和管理,提高效率。而寄生於Kubernetes的Helm隨著Kubernetes聲勢也逐漸壯大。經CNCF基金會的技術監督委員

Kubernetes 1.10釋出:更趨穩定的儲存、安全與網路功能_Kubernetes中文社群

我們今天興奮地宣佈,Kubernetes在2018年年內的第一個版本——1.10版已經正式釋出! 此次新版本的推出不斷提升Kubernetes的成熟度、可擴充套件性與可插入性。本次最新版本提升了三大關鍵性功能的穩定度,分別為儲存、安全與網路。另外,此次新版本還引入了外部kubectl憑證提供程

不捧不踩國外公司向Kubernetes遷移實踐_Kubernetes中文社群

導讀: Kubernetes一騎絕塵開掛來,那麼企業應該開始向Kubernetes遷移嗎?什麼情況下真正的接受它?一些技術前沿公司先行一步的實踐恐怕最有說服力和參考價值。本文即是一則很好的參考。 1 Kubernetes如今風靡一時,它是龐大的雲原生運動中的一

關於Kubernetes Master高可用的一些策略_Kubernetes中文社群

Kubernetes高可用也許是完成了初步的技術評估,打算將生產環境遷移進Kubernetes叢集之前普遍面臨的問題。 為了減少因為伺服器當機引起的業務中斷,生產環境中的業務系統往往已經做好了高可用,而當引入Kubernetes這一套新的叢集管理系統之後, 伺服器不再是單一的個體,位於中央位置

Kubernetes設計文件 網路介紹_Kubernetes中文社群

模型和動機 Kubernetes從Docker預設的網路模型中獨立出來形成一套自己的網路模型。該網路模型的目標是:每一個pod都擁有一個扁平化共享網路名稱空間的IP,通過該IP,pod就能夠跨網路與其它物理機和容器進行通訊。一個pod一個IP模型建立了一個乾淨、反向相容的模型,在該模型中,從埠

Google Kubernetes引擎1.10版正式上線支援虛擬私有云_Kubernetes中文社群

各大公有云廠商近日都有加強支援Kubernetes佈局的策略,微軟在Build大會就宣佈加強Kubernetes,只要點選操作就能完成叢集構建;甲骨文容器引擎也升級,Kubernetes也能靠GPU執行高速運算;Rackspace則是補齊Kubernetes託管服務這張關鍵拼圖。而近日出招的則

Kubernetes另一位創辦人自創的容器新創公司Heptio選擇與AWS結盟_Kubernetes中文社群

在去年10月Kubernetes專案共同創辦人Craig McLuckie離開Google,創辦了容器新創Heptio後,近日Heptio終於宣佈,與AWS合作,推出AWS Quick Starts for Kubernetes ,讓企業在10分鐘內就可以完成Kubernetes叢集的部署。

說說Kubernetes是怎麼來的又是怎麼沒的_Kubernetes中文社群

1、軟體標準 標準化的軟體平臺有利有弊 標準讓開發者可以對軟體的執行方式抱有一定的預期。如果一個開發者為某個標準化平臺構建了某個東西,他可以評估出該軟體的目標市場總規模。 如果你用JavaScript寫了一個程式,你會知道它將會在所有人的瀏覽器中執行。如果你給iOS創作了一個遊戲,你會知道每個有iPhone

微軟開源容器開發工具Draft加快應用程式在Kubernetes環境部署_Kubernetes中文社群

今年4月微軟併購Kubernetes工具開發商Deis後,微軟在近日也開源了容器應用程式開發工具Draft,加速應用程式在Kubernetes環境的部署流程。 目前帶領微軟Azure容器服務團隊的Kubernetes共同創辦人Brendan Burns表示,雖然Kubernetes在部署、管理

Google與思科合作推廣混合雲架構,支援Kubernetes;Azure容器服務ACS改名AKS以K8S服務為主_Kubernetes中文社群

日前Google和思科合作,加強企業混合雲,讓思科私有云環境得以介接Google公有云環境。 隨著企業需求走向公、私雲混合,這類的合作也越來越多,例如,AWS和Google也分別和VMware合作,以提供企業混合雲服務。而紅帽則是與AWS、Azure及GCP合作,讓OpenShift能在跨雲、

Kubernetes Ingress解析_Kubernetes中文社群

前言 這是kubernete官方文件中Ingress Resource的翻譯,因為最近工作中用到,文章也不長,也很好理解,索性翻譯一下,也便於自己加深理解,同時造福kubernetes中文社群。後續準備使用Traefik來做Ingress controller,文章末尾給出了幾個相關連結,實際

使用traefik作為ingress controller透出叢集中的https後端(如kubernetes dashboard)_Kubernetes中文社群

文章楔子 對於k8s叢集中的http/https服務,一種常見的設計是叢集內部走http協議,然後在ingress controller處統一管理TLS證書,並負責接受外部的https請求,以及將內部的http響應統一轉換為https發回客戶端,這樣既能降低叢集內部通訊的複雜度,又能保證叢集服