《Kubernetes网络权威指南》读书笔记 | Kubernetes网络策略:为你的应用保驾护航

Posted COCOgsta

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了《Kubernetes网络权威指南》读书笔记 | Kubernetes网络策略:为你的应用保驾护航相关的知识,希望对你有一定的参考价值。

书籍来源:《Kubernetes网络权威指南:基础、原理与实践》

一边学习一边整理读书笔记,并与大家分享,侵权即删,谢谢支持!

附上汇总贴:《Kubernetes网络权威指南》读书笔记 | 汇总_COCOgsta的博客-CSDN博客


默认情况下,Kubernetes底层网络是“全连通”的,即在同一集群内运行的所有Pod都可以自由通信。但是也支持用户根据实际需求以不同方式限制集群内Pod的连接。Kubernetes的解决方案是Network Policy,即网络策略。

网络策略就是基于Pod源IP的访问控制列表,限制的是Pod之间的访问。通过定义网络策略,用户可以根据标签、IP范围和端口号的任意组合限制Pod的入站/出站流量。

Kubernetes的网络策略采用了比较严格的单向流控制,即假如允许服务A访问服务B,反过来服务B并不一定能访问服务A。这与Docker内置的Network命令实现的隔离有很大不同。

3.8.1 网络策略应用举例

如果拒绝所有流量进入,例如图3-24所示的场景。

图3-24 拒绝所有流量进入的网络策略场景

那么Network Policy对象应该定义成:

如果限制部分流量进入,例如图3-25所示的场景。

图3-25 限制部分流量进入的网络策略场景

那么,Network Policy对象应该定义成:

如果只允许特定namespace的Pod流量进入,例如图3-26所示的场景。

图3-26 只允许特定namespace的Pod流量进入的网络策略场景

那么Network Policy对象应该定义成:

如果限制流量从指定端口进入,例如图3-27所示的场景。

图3-27 限制流量从指定端口进入的网络策略场景

那么,Network Policy对象应该定义成:

再举一个同时限定入站(Ingress)和出站(Egress)的例子:

该例子的效果如下:default namespace下Labels包含role=db的Pod,都会被隔绝,它们只能建立满足Network Policy的Ingress和Egress描述的连接。即:

(1)所有属于172.17.0.0/16网段的IP,除了172.17.1.0/24中的IP,其他的都可以与上述Pod的6379端口建立TCP连接。

(2)所有包含project=myproject Labels的namespace中的Pod可以与上述Pod的6379端口建立TCP连接。

(3)所有default namespace下的包含role=frontend Labels的Pod可以与上述Pod的6379端口建立TCP连接。

(4)允许上述Pod访问网段为10.0.0.0/24的目的IP的5978端口。

Kubernetes网络策略与一些安全组(例如Neutron的安全组)的区别。一般来说,安全组的规则记录在上层网关,而不是每一个节点上。而Network Policy agent一般通过Kubernetes DaemonSet实现每个节点上都有一个部署。

以上是关于《Kubernetes网络权威指南》读书笔记 | Kubernetes网络策略:为你的应用保驾护航的主要内容,如果未能解决你的问题,请参考以下文章

《Kubernetes网络权威指南》读书笔记 | iptables

《Kubernetes网络权威指南》读书笔记 | 打通CNI与Kubernetes:Kubernetes网络驱动

《Kubernetes网络权威指南》读书笔记 | Kubernetes网络策略:为你的应用保驾护航

《Kubernetes网络权威指南》读书笔记 | 最常用的Docker网络技巧

《Kubernetes网络权威指南》读书笔记 | Linux隧道网络的代表:VXLAN

《Kubernetes网络权威指南》读书笔记 | 主角登场:Linux容器