Kubernetes网络自学系列 | Kubernetes网络策略：为你的应用保驾护航

Posted 2023-01-13 COCOgsta

素材来源：《Kubernetes网络权威指南》

一边学习一边整理内容，并与大家分享，侵权即删，谢谢支持！

附上汇总贴：Kubernetes网络自学系列 | 汇总_COCOgsta的博客-CSDN博客

---

3.8 Kubernetes网络策略：为你的应用保驾护航

在默认情况下，Kubernetes底层网络是“全连通”的，即在同一集群内运行的所有Pod都可以自由通信。但是也支持用户根据实际需求以不同方式限制集群内Pod的连接。

例如，我们需要实现图3-22中的需求，即只允许访问default namespace的Label是app=web的Pod，default namespace的其他Pod都不允许外部访问。这个隔离需求在多租户的场景下十分普遍。Kubernetes的解决方案是Network Policy，即网络策略。

图3-22 一个需要网络策略的典型场景

网络策略就是基于Pod源IP（所以Kubernetes网络不能随随便便做SNAT）的访问控制列表，限制的是Pod之间的访问。通过定义网络策略，用户可以根据标签、IP范围和端口号的任意组合限制Pod的入站/出站流量。网络策略作为Pod网络隔离的一层抽象，用白名单实现了一个访问控制列表（ACL），从Label Selector、namespace selector、端口、CIDR这4个维度限制Pod的流量进出。

值得一提的是，Kubernetes的网络策略采用了比较严格的单向流控制，即假如允许服务A访问服务B，反过来服务B并不一定能访问服务A。这与Docker内置的Network命令实现的隔离有很大不同。

3.8.1 网络策略应用举例

让我们先来见识几个默认的网络策略，如图3-23所示。

图3-23 几个Kubernetes默认的网络策略

注：代表允许所有。[]代表拒绝所有。

如果拒绝所有流量进入，例如图3-24所示的场景。

图3-24 拒绝所有流量进入的网络策略场景

那么Network Policy对象应该定义成：

如果限制部分流量进入，例如图3-25所示的场景。

图3-25 限制部分流量进入的网络策略场景

那么，Network Policy对象应该定义成：

如果只允许特定namespace的Pod流量进入，例如图3-26所示的场景。

图3-26 只允许特定namespace的Pod流量进入的网络策略场景

那么Network Policy对象应该定义成：

如果限制流量从指定端口进入，例如图3-27所示的场景。

图3-27 限制流量从指定端口进入的网络策略场景

那么，Network Policy对象应该定义成：

再举一个同时限定入站（Ingress）和出站（Egress）的例子：

该例子的效果如下：default namespace下Labels包含role=db的Pod，都会被隔绝，它们只能建立满足Network Policy的Ingress和Egress描述的连接。即：

（1）所有属于172.17.0.0/16网段的IP，除了172.17.1.0/24中的IP，其他的都可以与上述Pod的6379端口建立TCP连接。

（2）所有包含project=myproject Labels的namespace中的Pod可以与上述Pod的6379端口建立TCP连接。

（3）所有default namespace下的包含role=frontend Labels的Pod可以与上述Pod的6379端口建立TCP连接。

（4）允许上述Pod访问网段为10.0.0.0/24的目的IP的5978端口。

3.8.2 小结

最后，让我们梳理Kubernetes网络策略的知识点。

· Egress表示出站流量，即Pod作为客户端访问外部服务，Pod地址作为源地址。策略可以定义目的地址和目的端口，可以根据ports和to定义规则。ports字段用来指定目的端口和协议。to（目的地址）分为IP地址段、Pod selector和Kubernetes namespace selector；

· Ingress表示入站流量，Pod地址和服务作为服务端（目的地址），提供外部访问。与Egress类似，策略可以定义源地址和端口，可以根据ports和from定义规则。ports字段同样用来指定目的端口和协议。from（源地址）分为IP地址段、Pod selector和Kubernetes namespace selector；

· podSelector用于指定网络策略在哪些Pod上生效，用户可以配置单个Pod或者一组Pod。可以定义单方向。空podSelector选择命名空间中的Pod。podSelector定义Network Policy的限制范围，就是规则应用到哪个Pod上。如上所示，podSelector:留空就是定义对Kubernetes当前namespace下的所有Pod生效。没有定义白名单的话，默认就是Deny ALL（拒绝所有）；

· policyTypes：指定策略类型，包括Ingress和Egress，不指定默认就是Ingress。默认情况下，一个policyTypes的值一定会包含Ingress。

说到匹配规则，namespaceSelector和podSelector是彼此独立的两个单独的匹配规则。你可以使用ipBlock字段允许来自或者到达特定IP地址段范围的Ingress或Egress流量。

最后，介绍Kubernetes网络策略与一些安全组（例如Neutron的安全组）的区别。一般来说，安全组的规则记录在上层网关，而不是每一个节点上。而Kubernetes网络是应用到每个节点上的，实现Network Policy的agent需要在每个节点上都List/Watch Kubernetes的Network Policy、namespace、Pod等资源对象，因此在实现上可能会有较大的性能影响。Network Policy agent一般通过Kubernetes DaemonSet实现每个节点上都有一个部署。