【精品】k8s(kubernetes)的网络策略networkpolicy实例精讲

已于 2023-01-11 17:18:10 修改
阅读量463 收藏
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 玩会k8s实战 文章标签: kubernetes 网络 运维 容器 pod
于 2022-11-24 19:25:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Friendsofthewind/article/details/127843798
本文深入探讨了Kubernetes NetworkPolicy的原理,详细介绍了如何创建和应用NetworkPolicy进行流量控制,包括允许特定namespace的Pods访问内部Pods的80端口,以及在namespace内部实现更精细的访问策略。通过实例演示了配置、验证和调整网络策略的方法,强调了正确理解和使用官方文档的重要性。

重点

1、了解networkpolicy的原理
在这里插入图片描述

2、掌握创建networkpolicy实现流量控制的方法

内容一

网络策略是控制pod资源组间以及与其他网络端点如何通信的规范。
实现原理:使用标签来分组pod,并在该组pod之上定义规则来控其流量,从而为kubernetes提供更为精细的流量控制以及租户隔离机制。

内容二

要求:在现有的namespace internal中创建一个名为allow-port-from-namespace的新NetworkPolicy。
确保新的NetworkPolicy允许namespace default中的Pods连接到namespace internal中的Pods的80端口。

分析:
简化要求描述,在名称空间internal中创建网络策略:仅允许default名称空间的pod访问它里面的pod

(1)为default名称空间打个标签,以app=nginx为例(为了便于反向验证,先不打标签)
(2)创建网络策略允许这个标签的名称空间的pod访问internal命名空间中的Pods的80端口。

1、配置清单,如下图:

了解本专栏 订阅专栏 解锁全文 超级会员免费看
K8S系列】深入解析 Kubernetes 网络策略()
颜淡慕潇
09-30 1万+
在现代微服务架构中,服务之间的通信变得日益复杂,如何有效管理和保护这些通信是一个重要课题。Kubernetes网络策略提供了一种强大的方式来控制 Pod 之间的流量,确保集群的安全性和可靠性。本文将深入探讨 Kubernetes网络策略的工作原理、创建示例、最佳实践以及局限性。
Kubernetes 网络策略Network Policies):构建安全高效的容器网络
like21a的博客
06-01 1001
Kubernetes 网络策略是一种基于标签(Label)的访问控制机制,通过定义入站(Ingress)和出站(Egress)规则,限制 Pod网络流量。哪些 Pod 可以互相通信?哪些外部流量可以访问集群内部服务?如何防止敏感服务被未授权访问?Kubernetes 网络策略是保障容器化应用安全的基石。通过合理设计策略,你可以有效降低攻击面、满足合规要求,并提升故障排查效率。然而,策略的复杂性也要求开发者具备清晰的架构思维和持续的监控能力。
KubernetesNetwork Policy
山不转的博客
07-27 2355
概述 Kubernetes要求集群中所有pod,无论是节点内还是跨节点,都可以直接通信,或者说所有pod工作在同一跨节点网络,此网络一般是二层虚拟网络,称为pod网络。在安装引导kubernetes时,由选择并安装的network plugin实现。默认情况下,集群中所有pod之间、pod与节点之间可以互通。 网络主要解决两个问题,一个是连通性,实体之间能够通过网络互通。另一个是隔离性,出于安...
k8s集群网络策略Network Policy)
砚墨
07-04 1978
默认情况下,Kubernetes 集群网络没任何网络限制,Pod 可以与任何其他 Pod 通信,在某些场景下就需要进行网络控制,减少网络攻击面,提高安全性,这就会用到网络策略网络策略Network Policy):是一个K8s资源,用于限制Pod出入流量,提供Pod级别和Namespace级别网络访问控制。 网络策略的应用场景: • 应用程序间的访问控制,例如项目A不能访问项目B的Pod • 开发环境命名空间不能访问测试环境命名空间Pod • 当Pod暴露到外部时,需要做Pod白名单 • 多租户网络
k8s 网络策略详解--图文篇
最新发布
甘信的博客
10-16 731
K8s 集群初始化后,主流网络插件(如 Flannel、Calico)默认是,存在明显安全隐患。所有命名空间的,比如测试环境 Pod 能直接访问生产环境 Pod。一旦某个 Pod 被(如植入恶意程序),攻击者可快速到其他,风险扩散极快。为了防止以上风险,Network Policy 对象就产生了。
k8s学习-网络策略NetworkPolicy(概念、模版、创建、删除等)
关注网络安全、云原生安全
09-11 3204
3.(Egress 规则)允许 “default” 命名空间中任何带有标签 “role=db” 的 Pod 到 CIDR 10.0.0.0/24 下 5978 TCP 端口的连接。k8s命名空间是没有强制隔离性的,访问service时加上.namespace的名称即可。:此选择器将选择特定的名字空间,应将所有 Pod 用作其入站流量来源或出站流量目的地。k8sPod是没有隔离行的,任意命名空间下的Pod可以访问任意命名空间下的Pod。的 to/from 条目选择特定名字空间中的特定 Pod
Kubernetes NetworkPolicy
散步的博客
05-06 659
网络策略网络隔离策略) https://kubernetes.io/zh/docs/concepts/services-networking/network-policies/ 指定Pod间的网络隔离策略,默认是所有互通。 Pod 之间互通,是通过如下三个标识符的组合来辩识的: 其他被允许的 Pods(例外:Pod 无法阻塞对自身的访问) 被允许的名称空间 IP 组块(例外:与 Pod 运行所在的节点的通信总是被允许的, 无论 Pod 或节点的 IP 地址) 1、Pod隔离与非隔离 默认情况下,
k8s基于canel的网络策略
weixin_30483495的博客
05-27 309
Kubernetes能够把集群中不同Node节点上的Pod连接起来,并且默认情况下,每个Pod之间是可以相互访问的。但在某些场景中,不同的Pod不应该互通,这个时候就需要进行访问控制。亲测:在kubernetes集群中,默认可以设定NetworkPolicy资源,但是必须安装支持网络策略的插件,否则即使设置好网络策略也不会生效。 calico提供了多种解决方案: (1)使用fla...
K8S网络相关-NetworkPolicy解读
sozee910的博客
09-07 688
NetworkPolicyKubernetes 中用于控制 Pod 之间或 Pod 与外部资源之间网络流量的一种资源对象。它允许用户定义规则,限制或允许网络访问。通过 NetworkPolicy,你可以精细化地控制 Kubernetes 集群内部的网络流量,例如只允许特定的 Pod 或 IP 地址访问某些 Pod
k8s中的网络(较详细汇总)
weixin_30752699的博客
07-19 1609
目录 一、网络前提条件-网络模型 二、需要解决的网络问题 1.容器容器之间的网络 2.podpod之间的网络 同一台node节点上podpod通信 不同node节点上podpod通信 3.pod与service之间...
k8s NetworkPolicy 实战
Cyril的博客
12-10 552
NetworkPolicy 是一种以应用为中心的结构,允许设置如何允许 Pod网络上的各类网络“实体” (这里使用实体以避免过度使用诸如“端点”和“服务”这类常用术语, 这些术语在 Kubernetes 中有特定含义)通信。
K8S网络策略
运维@小兵的博客
12-12 1734
k8s网络策略
k8s 网络策略
qq_39124041的博客
02-13 615
支持基于calico的网络策略 apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: test-network-policy namespace: default spec: podSelector: matchLabels: #该参数为空则保护当前命名空间下所有pod role: db policyTypes: - Ingress #其它客户端进入流量 - Egress
k8s网络策略
梵修
12-10 1656
网络策略是控制Pod之间如何进行通信的规则,它使用标签来筛选Pod,并在该组Pod之上定义规则来定义管控其流量,从而为k8s提供更精细的流量控制和租户隔离机制。管理员和用户可以通过NetworkPolicy资源按需定义网络访问控制策略网络策略的具体实现要依靠CNI网络插件完成,例如Calico、Weave和Antrea等。因此,仅在使用支持网络策略网络插件时才能让自定义的网络策略生效。不同的网络插件实现网络策略的方式也是不一样的。
K8S网络策略
Blue summer的博客
11-30 1888
注:本文基于K8S v1.21.2版本编写 1 关于网络策略 k8s网络能力主要表现在两个方面,一个是连通性,保证pod之间能够互通,另一个就是隔离性,考虑安全、流量限制等业务需求。 而默认情况下,k8s集群的网络没任何限制,集群中的所有pod都是互通的,这对于一些业务来说是不符合安全需求的。同时如果考虑多租户的场景,这就更不能接受了,因此需要有方法能对集群网络进行限制,这就有了Network Policy。 但有一点,并不是所有网络插件都支持Network Policy,比如flannel就不支持网络
K8S 网络策略
elihe2011的专栏
03-15 1852
1. 网络策略 NetworkPolicy 是一种以应用为中心的结构,允许你设置如何允许 Pod网络上的各类网络 “实体” 通信,在 IP/Port (L3/L4) 层面控制网络流量,用于隔离应用以减少攻击面。 Pod 之间能否通信,可通过如下三个组合进行确认: 其他被允许的 Pods (例如:Pod 无法限制对自身的访问) 被允许的 namespace IP CIDR (例如:与Pod运行所在节点的节点的通信总是被允许的) 支持的网络插件: Calico Canal Cilium Kube-ro
K8s网络策略
qq_42515722的博客
02-13 692
(1)一旦配置了ns级别的网络策略,默认就会禁止在k8s中跨ns访问目标pod。(2)只要是和网络策略不匹配的pod,就算是同ns下,也无法访问目标pod。(3)也不允许通过nodeport访问目标pod。(4)不影响其他ns的pod与非明确禁止的pod之间的访问,即linux的pod访问python的其它pod依然可以,反正只要没和策略关联上的pod,都不受影响。
K8s网络策略K8s Network Strategy)
Linux运维老纪的博客
10-15 2150
K8s网络策略对于保护和管理 Kubernetes 集群内的流量至关重要。它们使您能够控制 Pod 之间的通信、增强安全性并提供对网络流量的精细控制。在像 K8s 这样的动态且可扩展的环境中,拥有强大的网络策略对于维护安全高效的基础设施至关重要。本章详细介绍k8s网络策略
k8s kubernetes 网络策略配置
09-29
虽然给定引用未直接提及Kubernetes网络策略的配置方法,但可以从相关信息中推导一些关联要点。 Kubernetes网络策略需要通过网络策略控制器来实施,不同的CNI插件对网络策略的支持和实现方式有所不同。例如Calico通过在每个节点上运行的Felix代理来实施网络策略,而Flannel本身对网络策略的支持相对较弱,通常需要结合其他组件来实现[^3]。 要进行网络策略配置,可参考以下官方及相关资料: - Katacoda的在线Kubernetes沙箱提供了网络策略相关课程,网址为https://www.katacoda.com/courses/kubernetes/networkpolicy [^4]。 - Kubernetes官方NetworkPolicy文档详细介绍策略概念及配置等内容,可访问https://kubernetes.io/docs/concepts/services-networking/network-policies/ [^4]。 - Calico网络策略指南,对于使用Calico作为CNI插件时的策略配置有详细说明,网址是https://docs.projectcalico.org/security/kubernetes-network-policy [^4]。 - Azure网络策略管理器,若在Azure AKS环境,可参考https://learn.microsoft.com/zh-cn/azure/aks/use-network-policies 来配置网络策略 [^4]。 以下是一个简单的Kubernetes网络策略YAML示例: ```yaml apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: test-network-policy namespace: default spec: podSelector: matchLabels: role: db policyTypes: - Ingress - Egress ingress: - from: - ipBlock: cidr: 172.17.0.0/16 except: - 172.17.1.0/24 - namespaceSelector: matchLabels: project: myproject - podSelector: matchLabels: role: frontend ports: - protocol: TCP port: 6379 egress: - to: - ipBlock: cidr: 10.0.0.0/24 ports: - protocol: TCP port: 5978 ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

技术职场教练

您的是我坚持原创免费作品的不懈

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值