一、基本了解

官方文档:https://kubernetes.io/zh-cn/docs/concepts/services-networking/network-policies/
基本了解:

1.网络策略通过网络插件来实现,创建一个 NetworkPolicy 资源对象而没有控制器来使它生效的话,是没有任何作用的,而我们搭建K8s集群时安装的calico网络组件就支持网络策略

2.默认情况下,K8s 集群网络没任何网络限制,Pod 可以与任何其他 Pod 通信,在某些场景下就需要进行网络控制,减少网络攻击面,提高安全性,这就会用到网络策略。

3.网络策略是一个K8s资源,需要管理员写yaml定义规则的,用于限制Pod出入流量,提供Pod级别和Namespace级别网络访问控制。

应用场景:

1.应用程序间的访问控制,例如项目A不能访问项目B的Pod。

2.开发环境命名空间不能访问测试环境命名空间Pod。

3.当Pod暴露到外部时,需要做Pod白名单。

4.多租户网络环境隔离。

网络策略工作流程:

1. 使用kubectl提交yaml文件给api server创建Network Policy资源。

2. api server 收到之后存到etcd数据库中。

3. Policy Controller组件监控网络策略,同步并通知节点上程序。

4. 节点上DaemonSet运行的程序从etcd中获取Policy,调用本地Iptables创建防火墙规则

注意事项:

1.calico网络组件是以Daemonset方式部署到每个节点,其中红色框的pod负责calico录入表的维护,网络策略的执行和下发。

2.有的网络组件没有controllers控制器:calico-kube-controllers,只有agent-pod:calico-node

3.也有特定需求是网络策略当前实现不了的,可以通过操作系统组件、准入控制器来实现
题目一:
设置配置环境:

[candidate@node-1] $ kubectl config use-context hk8s

Task

在现有的 namespace my-app 中创建一个名为 allow-port-from-namespace 的新 NetworkPolicy。

确保新的 NetworkPolicy 允许 namespace echo 中的 Pods 连接到 namespace my-app 中的 Pods 的 9000 端口。

进一步确保新的 NetworkPolicy:

-- 不允许对没有在监听 端口 9000 的 Pods 的访问

-- 不允许非来自 namespace echo 中的 Pods 的访问
# 解答:

# 1.更换配置环境

kubectl config use-context hk8s

# 如果没有创建名称空间:创建名称空间

kubectl create ns my-app

kubectl create ns echo

# 2.查看 namespace echo 的标签

[root@master2 etcd]# kubectl get ns --show-labels

NAME              STATUS   AGE    LABELS

echo              Active   19s    kubernetes.io/metadata.name=echo

my-app            Active   18m    kubernetes.io/metadata.name=my-app

# 如果访问者的 namespace 没有标签 label,则需要手动打一个。如果有一个独特的标签 label,则也可以直接使用。

[root@master2 etcd]# kubectl label ns echo project=echo

namespace/echo labeled

[root@master2 etcd]# kubectl get ns --show-labels

NAME              STATUS   AGE    LABELS

echo              Active   90s    kubernetes.io/metadata.name=echo,project=echo

my-app            Active   19m    kubernetes.io/metadata.name=my-app

# 3.创建 networkpolicy
vim networkpolicy.yaml

apiVersion: networking.k8s.io/v1

kind: NetworkPolicy

metadata:

  name: allow-port-from-namespace

  namespace: my-app   #被访问者的命名空间

spec:

  podSelector:      #这两行必须要写,或者也可以写成一行为 podSelector: {}

    matchLabels: {}     # 注意 matchLabels:与{}之间有一个空格

  policyTypes:

  - Ingress   #策略影响入栈流量

  ingress:

  - from:   #允许流量的来源

    - namespaceSelector:

        matchLabels:

          project: echo    #访问者的命名空间的标签 label

    #- podSelector: {}       #注意,这个不写。如果 ingress 里也写了- podSelector: {},则会导致 my-app 中的 pod 可以访问 my-app 中 pod 的 9000 了,这样不 满足题目要求不允许非来自  namespace echo 中的 Pods 的访问。

    ports:

    - protocol: TCP

      port: 9000  #被访问者公开的端口

[root@master2 networkpolicy]# kubectl apply -f networkpolicy.yaml

networkpolicy.networking.k8s.io/allow-port-from-namespace created

[root@master2 networkpolicy]# kubectl describe networkpolicy -n my-app

Name:         allow-port-from-namespace

Namespace:    my-app

Created on:   2024-01-11 13:28:35 +0800 CST

Labels:       <none>

Annotations:  <none>

Spec:

  PodSelector:     <none> (Allowing the specific traffic to all pods in this namespace)

  Allowing ingress traffic:

    To Port: <any> (traffic allowed to all ports)

    From:

      NamespaceSelector: project=echo

    ----------

    To Port: 9000/TCP

    From: <any> (traffic not restricted by source)

  Not affecting egress traffic

  Policy Types: Ingress
题目二:

设置配置环境kubectl config use-context k8s

创建一个名为allow-port-from-namespace2的新NetworkPolicy,以允许现有namespace my-app中的Pods连接到同一namespace中其他pods的端口9200。

确保新的NetworkPolicy:

-- 不允许对没有在监听端口9200的pods访问

-- 不允许不来自namespace my-app的pods的访问
# 解答:

1.切换环境:

kubectl config use-context k8s

#2. 查看my-app标签以及如果没有就打上标签

[root@master k8s]# kubectl label ns my-app project=my-app

namespace/my-app labeled

# 3.编写networkpolicy-2.yaml文件

[root@master2 networkpolicy]# cat networkpolicy-2.yaml

apiVersion: networking.k8s.io/v1

kind: NetworkPolicy

metadata:

  name: allow-port-from-namespace2

  namespace: my-app

spec:

  podSelector:

    matchLabels: { }

  policyTypes:

  - Ingress

  ingress:

    - from:

        - namespaceSelector:

            matchLabels:

              project: my-app

      ports:

        - protocol: TCP

          port: 9200

[root@master2 networkpolicy]# kubectl apply -f networkpolicy-2.yaml

networkpolicy.networking.k8s.io/allow-port-from-namespace2 created

[root@master2 networkpolicy]# kubectl describe networkpolicy allow-port-from-namespace2 -n my-app

Name:         allow-port-from-namespace2

Namespace:    my-app

Created on:   2024-01-11 13:54:30 +0800 CST

Labels:       <none>

Annotations:  <none>

Spec:

  PodSelector:     <none> (Allowing the specific traffic to all pods in this namespace)

  Allowing ingress traffic:

    To Port: 9200/TCP

    From:

      NamespaceSelector: project=my-app

  Not affecting egress traffic

  Policy Types: Ingress

4.k8s-配置网络策略 NetworkPolicy的更多相关文章

  1. 配置网络策略中的 NAP 条件

    TechNet 库 Windows Server Windows Server 2008 R2 und Windows Server 2008 按类别提供的 Windows Server 内容 Win ...

  2. 041.Kubernetes集群网络-K8S网络策略

    一 Kubernetes网络策略 1.1 策略说明 为实现细粒度的容器间网络访问隔离策略,Kubernetes发布Network Policy,目前已升级为networking.k8s.io/v1稳定 ...

  3. Kubernetes学习之路(二十一)之网络模型和网络策略

    目录 Kubernetes的网络模型和网络策略 1.Kubernetes网络模型和CNI插件 1.1.Docker网络模型 1.2.Kubernetes网络模型 1.3.Flannel网络插件 1.4 ...

  4. k8s的网络

    K8S的网络中主要存在4种类型的通信:   ①同一Pod内的容器间通信 ②各个Pod彼此间的通信 ③Pod和Service间的通信 ④集群外部流量和Service之间的通信   K8S为Pod和Ser ...

  5. 网络策略中使用的 VLAN 属性

    TechNet 库 Windows Server Windows Server 2008 R2 und Windows Server 2008 按类别提供的 Windows Server 内容 Win ...

  6. Kubernetes之canal的网络策略(NetworkPolicy)

    安装要求: 1.我们这里安装的是3.3的版本.kubernetes的要求: 支持的版本 1.10 1.11 1.12 2.CNI插件需要启用,Calico安装为CNI插件.必须通过传递--networ ...

  7. k8s基于canel的网络策略

    Kubernetes能够把集群中不同Node节点上的Pod连接起来,并且默认情况下,每个Pod之间是可以相互访问的.但在某些场景中,不同的Pod不应该互通,这个时候就需要进行访问控制.亲测:在kube ...

  8. k8s之网络插件flannel及基于Calico的网络策略

    1.k8s网络通信 a.容器间通信:同一个pod内的多个容器间的通信,通过lo即可实现; b.pod之间的通信:pod ip <---> pod ip,pod和pod之间不经过任何转换即可 ...

  9. k8s系列---基于canal的网络策略

    文章拷自:http://blog.itpub.net/28916011/viewspace-2215383/ 加上自己遇到的问题简单记录 安装文档:https://docs.projectcalico ...

  10. NetworkPolicy网络策略以及举例说明

    网络策略(NetworkPolicy)是一种关于pod间及pod与其他网络端点间所允许的通信规则的规范.NetworkPolicy 资源使用标签选择pod,并定义选定pod所允许的通信规则. 前提 网 ...

随机推荐

  1. FFmpeg开发笔记(五)更新MSYS的密钥环

    ​ <FFmpeg开发实战:从零基础到短视频上线>一书提到:使用MSYS对FFmpeg进行交叉编译时,需要事先安装交叉编译工具链,也就是执行下面命令. pacman -S mingw-w6 ...

  2. html 本地预览图片 图片上绘制矩形框

    效果如图 完整html代码如下 <!DOCTYPE html> <html> <head> <meta charset="UTF-8" / ...

  3. 内核模块的makefile规则详解

    内核中的Makefile 这里主要对内核源码各子集目录中的Kbulid(内核的编译系统)Makfile进行简单介绍 这部分式内核驱动或设备驱动开发这最长接触到的 Makefile 的语法包括几个方面 ...

  4. Atcoder DP contest 题解

    动态规划(Atcoder DP 26题) on Atcoder on Luogu 本文同步发表于知乎专栏. Frog 1 $N$ 个石头,编号为 $1,2,...,N$.对于每个 $i(1 \leq ...

  5. C++设计模式 - 职责链模式(Chain of Resposibility)

    数据结构模式 常常有一-些组件在内部具有特定的数据结构,如果让客户程序依赖这些特定的数据结构,将极大地破坏组件的复用.这时候,将这些特定数据结构封装在内部,在外部提供统一的接口,来实现与特定数据结构无 ...

  6. #trie,树链剖分#洛谷 6088 [JSOI2015]字符串树

    题目 分析 显然树上的问题可以转换成根节点到两点的答案减去2倍根节点到LCA的答案 化边为点,考虑子节点承接父节点的trie,再加入一条新的字符串, 在循环的过程中统计一个位置被多少个字符串经过, 这 ...

  7. openGauss内存引擎中的索引

    一.索引 索引是一种用于快速查询和检索数据的数据结构.常见的索引结构有: B 树, B+树和 Hash. 索引的作用就相当于目录的作用.打个比方: 我们在查字典的时候,如果没有目录,那我们就只能一页一 ...

  8. TensorRT C# API 项目更新 (1):支持动态Bath输入模型推理

    1. 项目介绍    NVIDIA TensorRT 是一款用于高性能深度学习推理的 SDK,包括深度学习推理优化器和运行时,可为推理应用程序提供低延迟和高吞吐量.基于 NVIDIA TensorRT ...

  9. ContOS7搭建RAID-5磁盘阵列

    RAID5:分布式奇偶校验的独立磁盘结构 RAID5就是raid0和RAID1的一种折中,既提升了磁盘读写能力,又有一定的容错能力,成本也低: 实验开始: 1.挂载四块5G硬盘 2.进行分区:fdis ...

  10. 可视化学习:使用WebGL绘制圆形,实现色盘

    前言 在Canvas2D中实现圆形的绘制比较简单,只要调用arc指令就能在Canvas画布上绘制出一个圆形,类似的,在SVG中我们也只需要一个<circle>标签就能在页面上绘制一个圆形. ...