系列文章

前言

今天我们进入 Cilium 安全相关主题, 介绍 CiliumNetworkPolicies 相比于 Kubernetes 网络策略最大的不同: 7 层网络策略能力.

CiliumNetworkPolicy 7 层能力

CiliumNetworkPolicy 与标准 NetworkPolicy 的最大区别之一是支持 L7 协议感知规则。在 Cilium 中,可以为不同的协议(包括 HTTP、Kafka 和 DNS)制定特定于协议的 L7 策略。

第 7 层策略规则扩展了第 4 层策略的 toPorts 部分,可用于 Ingress 和 Egress.

Notes

<networkpolicy.io> 目前只支持 L3/L4 策略的编辑和制作, 可以先用可视化编辑器制作 L4 的 CiliumNetworkPolicy, 再根据需求扩展为 L7 的 CiliumNetworkPolicy YAML。

第 7 层策略规则属性因 Cilium 支持的不同协议而异。特定协议的属性有详细的文档说明,后续主要以 HTTP 为例进行介绍。

L7 HTTP 策略

当节点上运行的任何端点的任何 L7 HTTP 策略处于活动状态时,该节点上的 Cilium Agent 将启动一个嵌入式本地 HTTP Agent 服务(基于 Envoy, 二进制包为 cilium-envoy),并指示 eBPF 程序将数据包转发到该本地 HTTP 代理。HTTP 代理负责解释 L7 网络策略规则,并酌情进一步转发数据包。此外,一旦 HTTP 代理就位,你就可以在 Hubble 流量中获得 L7 可观察性,我们将在后续介绍。

在编写 L7 HTTP 策略时,HTTP 代理可以使用几个字段来匹配网络流量:

  • PATH: 与 URL 请求的常规路径相匹配的扩展 POSIX regex。如果省略或为空,则允许所有路径。
  • Method: 请求的方法,如 GET、POST、PUT、PATCH、DELETE。如果省略或为空,则允许使用所有方法。
  • Host: 与请求的主机标头匹配的扩展 POSIX regex。如果省略或为空,则允许使用所有主机。
  • Headers: 请求中必须包含的 HTTP 头信息列表。如果省略或为空,则无论是否存在标头,都允许请求。

下面的示例使用了几个具有 regex 路径定义的 L7 HTTP 协议规则,以扩展 L4 策略,限制所有带有 app=myService 标签的端点只能使用 TCP 在 80 端口接收数据包。在此端口上通信时,只允许使用以下 HTTP API 端点:

  • GET /v1/path1: 精确匹配 "/v1/path1"
  • PUT /v2/path2.*: 匹配所有以 "/v2/path2" 开头的 paths
  • POST .*/path3: 这将匹配所有以 "/path3" 结尾的路径,并附加 HTTP 标头 X-My-Header 必须设为 true 的限制条件:

具体策略如下:

apiVersion: "cilium.io/v2"

kind: CiliumNetworkPolicy

metadata:

  name: "l7-rule"

spec:

  endpointSelector:

    matchLabels:

      app: myService

  ingress:

  - toPorts:

    - ports:

      - port: '80'

        protocol: TCP

      rules:

        http:

        - method: GET

          path: "/v1/path1"

        - method: PUT

          path: "/v2/path2.*"

        - method: POST

          path: ".*/path3"

          headers:

          - 'X-My-Header: true'

该规则块包含扩展 L4 Ingress 策略的 L7 策略逻辑。您只需在 toPorts 列表中添加相应的规则块作为属性,就可以从 L4 策略开始,提供细粒度的 HTTP API 支持。

L7 策略示例

可以再看几个 L7 策略示例:

第一个, HTTP L7 策略: 允许来自 env=prod 的实体使用 HTTP GET app=service pod 的 /public

apiVersion: "cilium.io/v2"

kind: CiliumNetworkPolicy

metadata:

  name: "rule1"

spec:

  description: "Allow HTTP GET /public from env=prod to app=service"

  endpointSelector:

    matchLabels:

      app: service

  ingress:

  - fromEndpoints:

    - matchLabels:

        env: prod

    toPorts:

    - ports:

      - port: "80"

        protocol: TCP

      rules:

        http:

        - method: "GET"

          path: "/public"

第二个, Kafka L7 策略: 使《星球大战》中的帝国总部(app: empire-hq)能够生成(produce)帝国公告(empire-announce)和死星计划(deathstar-plans)主题消息。

Notes

Cilium 用于演示 CiliumNetworkPolicy 能力的 Demo 程序, 借用了《星球大战》帝国和反抗军的概念。

apiVersion: "cilium.io/v2"

kind: CiliumNetworkPolicy

metadata:

  name: "rule1"

spec:

  description: "enable empire-hq to produce to empire-announce and deathstar-plans"

  endpointSelector:

    matchLabels:

      app: kafka

  ingress:

  - fromEndpoints:

    - matchLabels:

        app: empire-hq

    toPorts:

    - ports:

      - port: "9092"

        protocol: TCP

      rules:

        kafka:

        - role: "produce"

          topic: "deathstar-plans"

        - role: "produce"

          topic: "empire-announce"

第三个, DNS L7 策略: "tofqdn-dns-visibility"

apiVersion: cilium.io/v2

kind: CiliumNetworkPolicy

metadata:

  name: "tofqdn-dns-visibility"

spec:

  endpointSelector:

    matchLabels:

      any:org: alliance

  egress:

  - toEndpoints:

    - matchLabels:

       "k8s:io.kubernetes.pod.namespace": kube-system

       "k8s:k8s-app": kube-dns

    toPorts:

      - ports:

         - port: "53"

           protocol: ANY

        rules:

          dns:

            - matchName: "cilium.io"

            - matchPattern: "*.cilium.io"

            - matchPattern: "*.api.cilium.io"

  - toFQDNs:

      - matchName: "cilium.io"

      - matchName: "sub.cilium.io"

      - matchName: "service1.api.cilium.io"

      - matchPattern: "special*service.api.cilium.io"

    toPorts:

      - ports:

         - port: "80"

           protocol: TCP

在此示例中,L7 DNS 策略允许查询 cilium.iocilium.io 的任何子域以及 api.cilium.io 的任何子域。不允许其他 DNS 查询。

单独的 L3 toFQDNs Egress 规则允许连接到 DNS 查询中返回的 cilium.iosub.cilium.ioservice1.api.cilium.iospecial*service.api.cilium.io 的任何匹配 IP,如 special-region1-service.api.cilium.io,但不包括 region1-service.api.cilium.io。允许对 anothersub.cilium.io 进行 DNS 查询,但不允许连接到返回的 IP,因为没有 L3 toFQDNs 规则选择它们。

总结

今天我们进入 Cilium 安全相关主题, 介绍 CiliumNetworkPolicies 相比于 Kubernetes 网络策略最大的不同: 7 层网络策略能力.

L7 策略基于 L4 策略扩展而来, 增加了 toPorts 字段. 并提供了 HTTP DNS Kakfa 的 L7 策略示例.

后续我们会基于 Cilium 官方的《星球大战》 Demo 做详细演示。

三人行, 必有我师; 知识共享, 天下为公. 本文由东风微鸣技术博客 EWhisper.cn 编写.

Cilium系列-15-7层网络CiliumNetworkPolicy简介的更多相关文章

  1. [C#网络编程系列]专题一:网络协议简介

    转自:http://www.cnblogs.com/zhili/archive/2012/08/11/NetWorkProgramming.html 因为这段时间都在研究C#网络编程的一些知识, 所以 ...

  2. 软件开发架构,网络编程简介,OSI七层协议,TCP和UDP协议

    软件开发架构 什么是软件开发架构 1.软件架构是一个系统的草图. 2.软件架构描述的对象是直接构成系统的抽象组件. 3.各个组件之间的连接则明确和相对细致地描述组件之间的通讯. 4.在实现阶段,这些抽 ...

  3. HelloX操作系统网络功能简介及使用和开发指南

    HelloX网络功能简介及使用和开发指南 HelloX网络功能简介 作为物联网操作系统,网络功能是必备的核心功能之一.按照规划,HelloX实现了两个不同类型的TCP/IP协议栈,一个面向资源受限的嵌 ...

  4. 计算机网络通信TCP/IP协议浅析 网络发展简介(二)

    本文对计算机网络通信的原理进行简单的介绍 首先从网络协议分层的概念进行介绍,然后对TCP.IP协议族进行了概念讲解,然后对操作系统关于通信抽象模型进行了简单介绍,最后简单描述了socket   分层的 ...

  5. Web技术的发展 网络发展简介(三)

    在上一篇文章中,对TCP/IP通信协议进行了简单的介绍 通信协议是通信的理论基石,计算机.操作系统以及各种网络设备对通信的支持是计算机网络通信的物质基础 而web服务则是运行于应用层,借助于应用层的协 ...

  6. UNIX网络编程---简介

    UNIX网络编程---简介 一.           概述 a)       在编写与计算机通信的程序时,首先要确定的就是和计算机通信的协议,从高层次来确定通信由哪个程序发起以及响应在合适产生.大多数 ...

  7. ASP.NET MVC+EF框架+EasyUI实现权限管理系列(15)-用户登录详细错误和权限数据库模型设计

    原文:ASP.NET MVC+EF框架+EasyUI实现权限管理系列(15)-用户登录详细错误和权限数据库模型设计     ASP.NET MVC+EF框架+EasyUI实现权限管系列 (开篇)    ...

  8. tcp/ip 卷一 读书笔记(2)物理层和链路层网络

    物理层和链路层网络 术语 链路 是一对相邻结点间的物理线路,中间没有任何其他的交换结点. 数据链路 除了物理线路外,还必须有通信协议来控制这些数据的传输. 帧 数据链路层的协议数据单元(PDU) 串行 ...

  9. 网络知识--OSI七层网络与TCP/IP五层网络架构及二层/三层网络

    作为一个合格的运维人员,一定要熟悉掌握OSI七层网络和TCP/IP五层网络结构知识. 废话不多说!下面就逐一展开对这两个网络架构知识的说明:一.OSI七层网络协议OSI是Open System Int ...

  10. 网络知识梳理--OSI七层网络与TCP/IP五层网络架构及二层/三层网络(转)

     reference:https://www.cnblogs.com/kevingrace/p/5909719.html https://www.cnblogs.com/awkflf11/p/9190 ...

随机推荐

  1. office办公套件基础教程

    正文 1.网页端的应用-office全家桶 这里我选择先聊web端的应用,首先,我们来想象一下,只要你有网络,有浏览器,就能打开一个网页,在网页上进行编辑.处理一些word.报表.ppt等,你不需要复 ...

  2. 2023-03-14:读取摄像头,并且显示视频。代码用go语言编写。

    2023-03-14:读取摄像头,并且显示视频.代码用go语言编写. 答案2023-03-14: 大体流程如下: 导入所需的库和包. 初始化 ffmpeg 和 SDL2 库. 打开摄像头并创建 AVF ...

  3. 2022-05-05:给定一个正数num,要返回一个大于num的数,并且每一位和相邻位的数字不能相等. 返回达标的数字中,最小的那个。 来自微软。

    2022-05-05:给定一个正数num,要返回一个大于num的数,并且每一位和相邻位的数字不能相等. 返回达标的数字中,最小的那个. 来自微软. 答案2022-05-05: 从左往右看,是否有相邻两 ...

  4. 2021-11-25:给定两个字符串s1和s2,返回在s1中有多少个子串等于s2。来自美团。

    2021-11-25:给定两个字符串s1和s2,返回在s1中有多少个子串等于s2.来自美团. 答案2021-11-25: 改写kmp算法. next数组多求一位. 比如:str2 = aaaa, 那么 ...

  5. 合合信息亮相CCIG2023:多位大咖共话智能文档未来,文档图像内容安全还面临哪些技术难题?

    ​ 近日,中国图象图形大会(CCIG 2023)(简称"大会")在苏州圆满落幕.本届大会以"图象图形·向未来"为主题,由中国科学技术协会指导,中国图象图形学学会 ...

  6. centos安装Vue

    一直以来,有关LINUX的系统安装包,都是比较随意,直接使用yum进行或者apt-get 安装 标准安装流程是什么的呢.我们通过centos安装Vue进行展示 1 首先下载安装nodejs , htt ...

  7. ODOO13之六:Odoo 13开发之模型 – 结构化应用数据

    在本系列文章第三篇Odoo 13 开发之创建第一个 Odoo 应用中,我们概览了创建 Odoo 应用所需的所有组件.本文及接下来的一篇我们将深入到组成应用的每一层:模型层.视图层和业务逻辑层. 本文中 ...

  8. Doris(五) -- 数据的导入导出

    数据导入 使用 Insert 方式同步数据 用户可以通过 MySQL 协议,使用 INSERT 语句进行数据导入 INSERT 语句的使用方式和 MySQL 等数据库中 INSERT 语句的使用方式类 ...

  9. Galaxy Project 是一个开源的生物医学分析平台项目。在 Github 的 #8475 上有个讨论,可以动态开启 message_box_content, admin_users, w......

    本文分享自微信公众号 - 生信科技爱好者(bioitee).如有侵权,请联系 support@oschina.cn 删除.本文参与"OSC源创计划",欢迎正在阅读的你也加入,一起分 ...

  10. A First course in FEM —— matlab代码实现求解传热问题(稳态)

    这篇文章会将FEM全流程走一遍,包括网格.矩阵组装.求解.后处理.内容是大三时的大作业,今天拿出来回顾下. 1. 问题简介 涡轮机叶片需要冷却以提高涡轮的性能和涡轮叶片的寿命.我们现在考虑一个如上图所 ...