Kubernetes能够把集群中不同Node节点上的Pod连接起来,并且默认情况下,每个Pod之间是可以相互访问的。但在某些场景中,不同的Pod不应该互通,这个时候就需要进行访问控制。
亲测:在kubernetes集群中,默认可以设定NetworkPolicy资源,但是必须安装支持网络策略的插件,否则即使设置好网络策略也不会生效。

calico提供了多种解决方案:
        (1)使用flannel提供网络,使用calico插件提供网络策略;
        (2)使用calico同时提供网络和策略;
        (3)仅使用calico提供网络策略;
        。。。
        flannel并不能对集群中网络提供网络策略功能,但是并没有必要卸载flannel单独安装calico。
        多数情况下,我们使用calico提供的第一种解决方案,只需要安装calico的网络策略功能插件即可。
    
        我们使用第一种,让flannel提供网络功能,calico提供网络策略功能:
        有两种安装方式:1.使用kubernetes的etcd存储栈;
                                     2.单独创建专门用于canal插件的etcd存储栈;
        一般使用基于Kubernetes API的etcd存储栈,而且是官方推荐的方案。

官网:https://docs.projectcalico.org

安装:
    (1)安装calico的canal插件:
             curl https://docs.projectcalico.org/v3.7/manifests/canal.yaml -O
    (2)如果您使用的是pod cidr 10.244.0.0/16,请跳到下一步。如果您使用的是不同的pod cidr,请使用以下命令来设置包含pod cidr的环境变量pod cidr,并将清单中的10.244.0.0/16替换为pod cidr。
            POD_CIDR="<your-pod-cidr>" \
            sed -i -e "s?10.244.0.0/16?$POD_CIDR?g" canal.yaml  
    (3)部署canal插件:
            kubectl apply -f canal.yaml
        使用kubectl get pods -n kube-system中查看安装进程。

安装完成后,即可编写networkPolicy的资源清单。

NetworkPolicy的配置清单编写:
        NetworkPolicy是kubernetes集群中标准的资源,所以书写格式和其他资源的清单差不多。
            主要字段:

 apiVersion: Networking.k8s.io/v1

 kind: NetworkPolicy

 metadata:

    name:

    namespace:

 spec:

    egress:              ##出站规则。不写则按默认允许所有出站;

    ingress:             ##入站规则。不写则按默认不允许所有入站;

    podSelector:      ##必写字段。不写则策略将应用在所在的命名空间下的所有资源;

    policyTypes:       ##策略类型:egress或ingress或无或搭配;              

例:禁止所有入站:

 apiVersion: networking.k8s.io/v1

 kind: NetworkPolicy

 metadata:

    name: deny-all-ingress

 spec:

    podSelector: {}

    policyTypes:

    - Ingress

例:允许所有出站:

 apiVersion: networking.k8s.io/v1

 kind: NetworkPolicy

 metadata:

   name: allow-all-egress

 spec:

    podSelector: {}

    egress:

    - {}

    policyTypes:

    - Egress

   例:允许特定的访问流量

 apiVersion: networking.k8s.io/v1

 kind: NetworkPolicy

 metadata:

   name: allow-myapp-policy

 spec:

   podSelector:

     matchLabels:

       app: myapp   ##标签为app=myapp允许入站访问。

   ingress:

   - from:

     - ipBlock:     ##地址段。

         cidr: 10.244.0.0/  ##允许这个地址段访问。

         except:    ##以下地址不可以访问。

         - 10.244.1.2/

     ports:

     - port:      ##只允许访问80端口。

       protocol: TCP

例:指定pod标签访问

    我们要对namespace为dev,带有"role: backend"标签的所有pod进行访问控制:只允许标签为"role: frontend"的Pod,并且TCP端口为80的数据流入,其他流量都不允许。

 apiVersion: networking.k8s.io/v1

 kind: NetworkPolicy

 metadata:

   name: all-frontend

 spec:

   podSelector:

     matchLabels:

       role:backend

   ingress:

   - from:

     - podSelector:

         matchLabels:

           role: frontend

     ports:

     - protocol: TCP

         port:

例:指定namespaces标签访问
               我们要对标签为"role=frontend"的所有Pod进行访问控制:只允许namespace标签为"user=smbands"的各Pod,并且TCP端口为443的数据流入,其他流量都不允许。

 apiVersion: networking.k8s.io/v1

 kind: NetworkPolicy

 metadata:

   name: allow-tcp-

 spec:

   podSelector:

     matchLabels:

       role: frontend

   ingress:

   - ports:

     - protocol: TCP

       port:

     from:

     - namespaceSelector:

         matchLabels:

           user: smbands

k8s基于canel的网络策略的更多相关文章

  1. Kubernetes 学习19基于canel的网络策略

    一.概述 1.我们说过,k8s的可用插件有很多,除了flannel之外,还有一个流行的叫做calico的组件,不过calico在很多项目中都会有这个名字被应用,所以他们把自己称为project cal ...

  2. kubernetes学习笔记之十三:基于calico的网络策略入门

    一..安装calico [root@k8s-master01 ~]# kubectl apply -f https://docs.projectcalico.org/v3.3/getting-star ...

  3. k8s之网络插件flannel及基于Calico的网络策略

    1.k8s网络通信 a.容器间通信:同一个pod内的多个容器间的通信,通过lo即可实现; b.pod之间的通信:pod ip <---> pod ip,pod和pod之间不经过任何转换即可 ...

  4. k8s系列---基于canal的网络策略

    文章拷自:http://blog.itpub.net/28916011/viewspace-2215383/ 加上自己遇到的问题简单记录 安装文档:https://docs.projectcalico ...

  5. canel的网络策略

    资源: https://docs.projectcalico.org/v3.2/getting-started/kubernetes/installation/flannel 基于pod Egress ...

  6. k8s-基于canel的网络策略-十九

    一.前提 上一节学习了flannel,但是我们应该了解flannel只能提供网络通讯,而不能提供网络策略.因此,我们本节学习canal,让它来提供网络策略,来配合flannel使用. canal是ca ...

  7. 041.Kubernetes集群网络-K8S网络策略

    一 Kubernetes网络策略 1.1 策略说明 为实现细粒度的容器间网络访问隔离策略,Kubernetes发布Network Policy,目前已升级为networking.k8s.io/v1稳定 ...

  8. Kubernetes学习之路(二十一)之网络模型和网络策略

    目录 Kubernetes的网络模型和网络策略 1.Kubernetes网络模型和CNI插件 1.1.Docker网络模型 1.2.Kubernetes网络模型 1.3.Flannel网络插件 1.4 ...

  9. eBPF Cilium实战(1) - 基于团队的网络隔离

    在 Rainbond 集群中,每个团队对应于底层 Kubernetes 的一个 Namespace ,由于之前使用的底层网络无法进行 Namespace 级别的网络管理,所以在 Rainbond 同一 ...

随机推荐

  1. SVN Trunk Tag Branch

    http://blog.csdn.net/vbirdbest/article/details/51122637

  2. 洛谷P1002 过河卒

    关于蒟蒻的我,刚刚接触DP....   那么就来做一道简单DP吧.... 首先先看题: 题目描述 棋盘上AA点有一个过河卒,需要走到目标BB点.卒行走的规则:可以向下.或者向右.同时在棋盘上CC点有一 ...

  3. Java流程控制和数组

    流程控制 Java中三种基本的流程控制结构:顺序结构,分支结构和循环结构. 顺序结构,任何编程语言中都会有的程序结构. 分支结构:Java语言中常见的两种, if语句和switch语句. if语句,使 ...

  4. js根据等号(=)前名称获取参数值

    var GetUrlParam=function (paraName) { var url = document.location.toString(); var arrObj = url.split ...

  5. js 检查字符串中是否包含中文(正则)

    function CheckChinese(val){ var reg = new RegExp("[\\u4E00-\\u9FFF]+","g"); if(r ...

  6. Linux —— awk命令

    - 作用: 强大的文本分析工具,对于文本分析来说绝对是一把利器 - 语法: awk '{pattern + action}' {filenames} pattern需要查找的内容 action 查找到 ...

  7. CentOS,net core2 sdk nginx、supervisor、mysql

    CentOS下 .net core2 sdk nginx.supervisor.mysql环境搭建 作为.neter,看到.net core 2.0的正式发布,心里是有点小激动的,迫不及待的体验了一把 ...

  8. feign客户端传参数报错

    新手经常遇到的错误 Caused by: java.lang.IllegalStateException: Method has too many Body parameters feign多参数问题 ...

  9. 开园了,将以此记录个人web前端之路

    记录.分享与学习 2015年5月中旬开始学习web前端到2015年6月底找到第一份相关工作,在学习与工作过程中通过网络获益良多,在此写下个人学习与工作过程中的总结与思考,记录个人成长,同时也希望能够帮 ...

  10. C# 加密、解密函数

    #region ========加密======== /// <summary> /// 加密 /// </summary> /// <param name=" ...