Network Policy - 每天5分钟玩转 Docker 容器技术(171)

最新推荐文章于 2025-10-15 14:34:24 发布
原创 最新推荐文章于 2025-10-15 14:34:24 发布 · 832 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Kubernetes #Docker #容器 #教程

本文介绍Kubernetes中NetworkPolicy的概念及应用,通过实例演示如何利用Canal实现Pod间的网络访问控制。

Network Policy 是 Kubernetes 的一种资源。Network Policy 通过 Label 选择 Pod,并指定其他 Pod 或外界如何与这些 Pod 通信。

默认情况下,所有 Pod 是非隔离的,即任何来源的网络流量都能够访问 Pod,没有任何限制。当为 Pod 定义了 Network Policy,只有 Policy 允许的流量才能访问 Pod。

不过,不是所有的 Kubernetes 网络方案都支持 Network Policy。比如 Flannel 就不支持,Calico 是支持的。我们接下来将用 Canal 来演示 Network Policy。Canal 这个开源项目很有意思,它用 Flannel 实现 Kubernetes 集群网络,同时又用 Calico 实现 Network Policy。

部署 Canal

部署 Canal 与部署其他 Kubernetes 网络方案非常类似,都是在执行了 kubeadm init 初始化 Kubernetes 集群之后通过 kubectl apply 安装相应的网络方案。也就是说,没有太好的办法直接切换使用不同的网络方案,基本上只能重新创建集群。

要销毁当前集群,最简单的方法是在每个节点上执行 kubeadm reset。然后就可以按照我们在前面 “部署 Kubernetes Cluster” 一章的 “初始化 Master” 小节中的方法初始化集群。

kubeadm init --apiserver-advertise-address 192.168.56.105 --pod-network-cidr=10.244.0.0/16

然后按照文档 https://kubernetes.io/docs/setup/independent/create-cluster-kubeadm/ 安装 Canal。文档列出了各种网络方案的安装方法:

执行如下命令部署 Canal

kubectl apply -f https://raw.githubusercontent.com/projectcalico/canal/master/k8s-install/1.7/rbac.yaml
kubectl apply -f https://raw.githubusercontent.com/projectcalico/canal/master/k8s-install/1.7/canal.yaml

部署成功后,可以查看到 Canal 相关组件:

Canal 作为 DaemonSet 部署到每个节点,地属于 kube-system 这个 namespace。

Canal 准备就绪,下节我们将实践 Network Policy。

书籍:

1.《每天5分钟玩转Kubernetes》
https://item.jd.com/26225745440.html

2.《每天5分钟玩转Docker容器技术》
https://item.jd.com/16936307278.html

3.《每天5分钟玩转OpenStack》
https://item.jd.com/12086376.html

CloudMan6
关注
玩转Docker | 使用Docker搭建paopao-ce社区系统
qq_59334230的博客
04-09 409
玩转Docker | 使用Docker搭建paopao-ce社区系统
玩转Docker | 使用Docker部署WordPress网站服务
qq_59334230的博客
08-13 610
玩转Docker | 使用Docker部署WordPress网站服务
kubernetes网络隔离(Networkpolicy)
kjkdd的博客
05-15 902
可以看到,这幅示意图中,IP 包“一进一出”的两条路径上,有几个关键的“检查点”,它们正是 Netfilter 设置“防火墙”的地方。其中,这个允许流入的“白名单”里,我指定了三种并列的情况,分别是:ipBlock、namespaceSelector 和 podSelector。例如,在我们上面这个例子里,我在 policyTypes 字段,定义了这个 NetworkPolicy 的类型是 ingress 和 egress,即:它既会影响流入(ingress)请求,也会影响流出(egress)请求。
Kubernetes】K8s 集群 NetworkPolicy 策略
最新发布
mm1234556的博客
10-15 716
没有 Network PolicyKubernetes 集群,就像没有门禁的数据中心——任何人都可以自由出入。
NetworkPolicy
qq_36462472的博客
11-14 415
Network Policies 一、相同namespace的隔离性 1、在同一个namespace下创建应用测试互访 # 创建一个namespace kubectl create namespace policy-demo # 创建pod kubectl run --namespace=policy-demo nginx --image=nginx --labels=app=nginx kubectl run nginx --image=nginx --labels=app=nginx # 创建ser
备战CKA每日一题——第10天 | (网络隔离)允许A访问B,不允许C访问B,怎么做;k8s访问控制RBAC、Role、RoleBinding以及serviceaccount引出
技术宅,专注云原生、Go、Linux、Java等技术分享,原创文章、效率工具、实战解决方案!关注我,了解互联网动态,学 IT 不迷路
12-02 874
(网络隔离)允许A访问B,不允许C访问B,怎么做;k8s访问控制RBAC、Role、RoleBinding以及serviceaccount引出
如何部署 Calico 网络?- 每天5分钟玩转 Docker 容器技术(67)
CloudMan6的博客
09-13 1315
Calico 是一个纯三层的虚拟网络方案,性能好。本节讨论如何部署 Calico 容器网络。
读书笔记-每天5分钟玩转k8s
u013766836的博客
01-05 1094
一.K8s基本概念 一.Pod Pod 是容器的集合,通常会将紧密相关的一组容器放到一个 Pod 中,同一个 Pod 中的所有容器共享 IP 地址和 Port 空间,也就是说它们在一个 network namespace 中。 Pod 是 Kubernetes 调度的最小单位,同一 Pod 中的容器始终被一起调度。 运行kubectl get pods查看当前的 Pod。 部署应用 访问应用 Scale 应用 滚动更新 Pod 是 Kubernetes 的最小工作单元。每个 Pod 包..
玩转Docker | 使用Docker部署捕鱼网页小游戏
qq_59334230的博客
10-29 1217
玩转Docker | 使用Docker部署捕鱼网页小游戏
高清经典-每天5分钟完砖Kubernetes
09-14
超级详细,简单易懂的一门课程,自动化运维、devops学习必备
networkPolicy初识
python基础
10-19 610
networkppolicy
Kubernetes 网络策略(NetworkPolicy
背着小书包一路追寻梦想
07-21 689
当一个 Pod 的入口被隔离时,唯一允许进入该 Pod 的连接是来自该 Pod 节点的连接和适用于入口的 Pod 的某个 NetworkPolicy 的。当一个 Pod 的出口被隔离时, 唯一允许的来自 Pod 的连接是适用于出口的 Pod 的某个 NetworkPolicy 的。如果策略适用于 Pod 某一特定方向的流量, Pod 在对应方向所允许的连接是适用的网络策略所允许的集合。要允许从源 Pod 到目的 Pod 的连接,源 Pod 的出口策略和目的 Pod 的入口策略都需要允许连接。
Kubernetes之网络策略(Network Policy)
yuan_jiaoyoung的博客
10-26 547
Kubernetes之网络策略(Network Policy)
关于 KubernetesNetworkPolicy(网络策略)方面的一些笔记
山河已无恙
01-09 4026
混吃等死,小富即安,飞黄腾达,是因为各有各的缘法,未必有高下之分。--—烽火戏诸侯《剑来》
每天5分钟玩转Kubernetes | Network Policy
COCO_gsta的博客
06-24 516
书籍来源:cloudman《每天5分钟玩转Kubernetes》一边学习一边整理老师的课程内容及试验笔记,并与大家分享,侵权即删,谢谢支持!附上汇总贴:每天5分钟玩转Kubernetes | 汇总_COCOgsta的博客-优快云博客Network PolicyKubernetes的一种资源。Network Policy通过Label选择Pod,并指定其他Pod或外界如何与这些Pod通信。默认情况下,所有Pod是非隔离的,即任何来源的网络流量都能够访问Pod,没有任何限制。当为Pod定义了Network
k8s学习-网络策略NetworkPolicy(概念、模版、创建、删除等)
关注网络安全、云原生安全
09-11 3207
3.(Egress 规则)允许 “default” 命名空间中任何带有标签 “role=db” 的 Pod 到 CIDR 10.0.0.0/24 下 5978 TCP 端口的连接。k8s的命名空间是没有强制隔离性的,访问service时加上.namespace的名称即可。:此选择器将选择特定的名字空间,应将所有 Pod 用作其入站流量来源或出站流量目的地。k8s的Pod是没有隔离行的,任意命名空间下的Pod可以访问任意命名空间下的Pod。的 to/from 条目选择特定名字空间中的特定 Pod。
每天5分钟玩转docker容器技术 pdf
08-07
Docker容器技术是一种轻量级的虚拟化技术,可以快速搭建和部署应用程序。每天5分钟玩转Docker容器技术,可以充分利用碎片化的时间,提高工作和学习效率。 首先,我们需要了解Docker容器技术的基本概念和原理。可以每天读取Docker容器的相关书籍或者阅读官方文档,逐步掌握其中的关键概念和技术细节。 接下来,在学习过程中,可以每天尝试使用Docker命令行工具来进行实践。比如,运行一个简单的Hello World容器,下载一个Docker镜像并在容器中运行一个简单的应用程序等。通过实际操作,可以更好地理解Docker容器技术的工作原理。 此外,深入学习Docker容器技术的最好方式之一是参与项目实战。可以每天尝试运行一些具有挑战性的容器化项目,比如部署一个多容器的Web应用程序,搭建一个容器化的开发环境等。通过实际的项目实践,可以更加深入地掌握和应用Docker容器技术。 另外,要善于利用网络资源,比如每天浏览相关的Docker容器技术博客、论坛或者社区,了解最新的技术发展和应用案例。可以关注Docker官方博客或者加入Docker用户社区,与其他Docker技术爱好者交流学习经验。 最后,坚持每天5分钟玩转Docker容器技术,持之以恒。通过每天的实践和学习,逐渐提升自己的技术能力,深入理解和运用Docker容器技术,为个人的工作和学习带来便利和提升。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值