k8s安全之Network Policy

K8s Network Policy 是一种资源，它用于在 Pod 之间以及从其他网络实体到 Pod 的通信中进行网络级别的访问控制。它允许您定义一组规则，这些规则可以指定允许或拒绝网络流量。

具体来说，Kubernetes Network Policy 定义了以下几种访问控制：

1. Pod 之间的访问控制：可以定义规则，允许或拒绝特定的 Pod 之间的通信。这包括在同一命名空间内或跨命名空间的 Pod 之间的通信。
2. 从其他网络实体到 Pod 的访问控制：可以定义规则，允许或拒绝从特定的 IP 地址或 IP 范围到 Pod 的访问。这允许您控制外部网络实体（例如，其他网络中的服务器或设备）与 Kubernetes 集群中的 Pod 之间的通信。

使用 Kubernetes Network Policy，您可以实现以下目标：

1. 提高安全性：通过限制不必要的网络流量，您可以减少潜在的攻击面，从而提高 Kubernetes 集群的安全性。
2. 实现微隔离：通过在 Pod 之间实施访问控制，您可以创建微隔离环境，确保 Pod 只与其需要通信的其他 Pod 进行交互。
3. 满足合规性要求：一些组织可能有关于网络安全和数据隔离的合规性要求。使用 Kubernetes Network Policy，您可以更容易地满足这些要求。

要使用 Kubernetes Network Policy，您需要确保您的 Kubernetes 集群已启用对该功能的支持。此外，您还需要选择合适的网络插件，因为不同的网络插件可能具有不同的支持和配置选项。在配置网络策略时，您还需要考虑集群的规模和复杂性，以及您的安全和隔离需求。

以下是一个Kubernetes Network Policy的YAML示例文件，它定义了简单的网络访问规则：

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: test-network-policy
  namespace: default
spec:
  podSelector:
    matchLabels:
      role: db
  policyTypes:
  - Ingress
  - Egress
  ingress:
  - from:
    - ipBlock:
        cidr: 172.17.0.0/16
        except:
        - 172.17.1.0/24
    - namespaceSelector:
        matchLabels:
          project: myproject
    - podSelector:
        matchLabels:
          role: frontend
    ports:
    - protocol: TCP
      port: 6379
  egress:
  - to:
    - ipBlock:
        cidr: 10.0.0.0/24
    ports:
    - protocol: UDP
      port: 53

在这个示例中：

• apiVersion 指定了Kubernetes API的版本，用于创建Network Policy资源。
• kind 定义了资源的类型，这里是NetworkPolicy。
• metadata 包含了Network Policy的名称和所在的命名空间。
• spec定义了Network Policy的规范：
  • podSelector 指定了应用这个Network Policy的Pod，基于标签选择器role: db来选择Pod。
  • policyTypes 列出了该策略适用的流量类型，可以是Ingress（进入Pod的流量）、Egress（从Pod发出的流量），或者两者都包括。
  • ingress 定义了进入Pod的流量规则，允许来自特定CIDR块、带有特定标签的命名空间中的Pod、或带有特定标签的其他Pod的流量。也可以指定允许的协议和端口号。
  • egress 定义了从Pod发出的流量规则，类似地可以指定目标CIDR块、端口和协议。