kubernetes CKS 1.8 网络访问控制

已于 2022-07-22 10:48:02 修改
阅读量602 收藏 1
点赞数
分类专栏: kubernetes CKS 文章标签: kubernetes 网络 docker
于 2022-07-19 15:30:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/cloud_engineer/article/details/125873275
版权
本文详细介绍了Kubernetes网络策略的使用,包括应用场景、基本配置和工作流程。网络策略用于限制Pod的出入站流量,实现网络访问控制。通过实例展示了如何拒绝命名空间内的所有流量、限制特定命名空间访问、允许跨命名空间访问以及在同一命名空间内实施应用间访问控制。同时,提供了CKS考试相关的考题分析。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

• 网络策略应用场景
• 网络策略概述
• 网络访问控制5个案例

1.8.1 应用场景

默认情况下,Kubernetes 集群网络没任何网络限制,Pod 可以与任何其他 Pod 通信,在某些场景下就需要进行网络控制, 减少网络攻击面,提高安全性,这就会用到网络策略。 网络策略(Network Policy):是一个K8s资源,用于限制Pod出入流量,提供Pod级别和Namespace级别网络访问控制。 网络策略的应用场景:
• 应用程序间的访问控制,例如项目A不能访问项目B的Pod
• 开发环境命名空间不能访问测试环境命名空间Pod
• 当Pod暴露到外部时,需要做Pod白名单
• 多租户网络环境隔离

1.8.2 网络策略概述

1.8.2.1 基本配置

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: test-network-policy
  namespace: default
spec:
  podSelector:
    matchLabels:
      role: db
  policyTypes:
    - Ingress
    - Egress
  ingress:
    - from:
        - ipBlock:
            cidr: 172.17.0.0/16
            except:
              - 172.17.1.0/24
        - namespaceSelector:
            matchLabels:
              project: myproject
        - podSelector:
            matchLabels:
              role: frontend
      ports:
        - protocol: TCP
          port: 6379
  egress:
    - to:
        - ipBlock:
            cidr: 10.0.0.0/24
      ports:
        - protocol: TCP
          port: 5978

podSelector:目标Pod,根据标签选择。
policyTypes:策略类型,指定策略用于入站、出站流量。
Ingress:from是可以访问的白名单,可以来自于IP段、命名空间、 Pod标签等,ports是可以访问的端口。 Egress:这个Pod组可以访问外部的IP段和端口。

1.8.2.2 网络策略工作流程

网络策略工作流程:
1、创建Network Policy资源
2、Policy Controller监控网络策略,同步并通知节点上程序
3、节点上DaemonSet运行的程序从etcd中获取Policy,调用本 地Iptables创建防火墙规则

在这里插入图片描述

1.8.3 网络访问控制案例

1.8.3.1 案例1:拒绝命名空间下所有Pod出入站流量

需求:拒绝test命名空间下所有Pod入、出站流量

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: deny-all
  namespace: test
spec:
  podSelector: {} # 匹配本命名空间所有pod
  policyTypes: 
  - Ingress
  - Egress
# ingress和egress没有指定规则,则不允许任何流量进出pod

1.8.3.2 案例2:拒绝其他命名空间Pod访问

需求:test命名空间下所有pod可以互相访问,也可以访问其他
命名空间Pod,但其他命名空间不能访问test命名空间Pod。

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: deny-all-namespaces 
  namespace: test
spec:
  podSelector: {} 
  policyTypes:
  - Ingress
  ingress:
  - from:
    - podSelector: {} # 匹配本命名空间所有pod

1.8.3.3 案例3:允许其他命名空间Pod访问指定应用

需求:允许其他命名空间访问test命名空间指定Pod

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-all-namespaces 
  namespace: test
spec:
  podSelector: 
    matchLabels:
      app: web
  policyTypes:
  - Ingress
  ingress:
  - from:
    - namespaceSelector: {} # 匹配所有命名空间的pod

1.8.3.4 案例4:同一个命名空间下应用之间限制访问

需求:将test命名空间中标签为run=web的pod隔离, 只允许标签为run=client1的pod访问80端口

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: app-to-app
  namespace: test
spec:
  podSelector:
    matchLabels:
      run: web
  policyTypes:
  - Ingress
  ingress:
  - from:
    - podSelector:
        matchLabels:
          run: client1
    ports:
    - protocol: TCP
      port: 80

以上是允许在test这个命名空间,假如不限制命名空间,如下:

]# cat test0719.yaml                                  
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: app-to-app
  namespace: test
spec:
  podSelector:
    matchLabels:
      run: web
  policyTypes:
  - Ingress
  ingress:
  - from:
    - namespaceSelector: {}
      podSelector:
        matchLabels:
          run: client1
    ports:
    - protocol: TCP
      port: 80

1.8.4 CKS考题分析

1.8.4.1 考题一

解读:在 testing 命名空间创建一个名为 denypolicy 的网络策略。拒绝所有 Ingress 和
Egress 流量。将网络策略应用到 testing 命名空间中的所有 pod。

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: denypolicy
  namespace: testing
spec:
  podSelector: {}
  policyTypes:
  - Ingress
  - Egress

1.8.4.2 考题二

解读:创建一个名为 pod-restriction 的网络策略,以限制命名空间 dev-team 中 products
service Pod。
只允许以下 Pod 连接 products-service Pod:

  • qa 命名空间中的 Pod
  • Pod 标签为 environment:testing,在所有命名空间
kubectl get pod -n dev-team --show-labels # 查看 pod 标签(environment: staging)
kubectl get ns --show-labels # 查看 qa 命名空间标签(name: qa)

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: pod-restriction
  namespace: dev-team
spec:
  podSelector:
  matchLabels:
    environment: staging
  policyTypes:
  - Ingress
  ingress:
  - from:
    - namespaceSelector:
        matchLabels:
          name: qa
  - from:
    - namespaceSelector: {}
      podSelector:
        matchLabels:
          environment: testing
CKS学习笔记-NetworkPolicy练习
weixin_43394724的博客
10-18 331
网络策略 官网解释https://kubernetes.io/zh/docs/concepts/services-networking/network-policies/: 如果希望在 IP 地址或端口层面(OSI 第 3 层或第 4 层)控制网络流量, 则可以考虑为集群中特定应用使用 Kubernetes 网络策略(NetworkPolicy)。 NetworkPolicy 是一种以应用为中心的结构,允许你设置如何允许 Pod 与网络上的各类网络“实体” 通信。 Pod 可以通信的 Pod 是通过如下
k8s_CKA考试_学习笔记
bq_o_pd的博客
12-14 562
Kubernetes对项目Pod出入流量访问控制
walk on the road of linux
04-08 560
将default命名空间携带run=web标签的Pod隔离,只允许default命名空间携带run=client1标签的Pod访问80端口 apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: test-network-policy namespace: default spec: podSelector: matchLabels: run: web policyTypes: -
Kubernets(k8s) 网络原理三:同主机内Pod相互访问
王小懒的学习笔记
08-04 1475
本文分析两种主机内的组网模型,他们都可以达到主机内Pod相互通信的目的。只是采用不同的技术去实现,这两种方式没有严格的好坏之分,只是适用的场景不一样。例如fiannel和docker就是采用bridge这种方式,依赖于一个网桥进行二层数据的转发。而calico就使用的L3路由的方式。
详解kubernetes网络访问控制
jerryhu1234的博客
08-17 2415
kubernetes集群内部,同一个namespace下的各pod之间的通讯都是“裸奔”的。 如果真的有人“非法”入侵到一个pod内,将会对其他关连的pod产生不利影响。 场景:一个简单的项目,有前端,后端,数据库,前后端在一个namespace中,数据库属于另一个namespace,前端去访问数据库时,默认情况下是直通访问,没有任何限制的,现增加一个网络访问控制1网络策略,实现允...
Kubernetes 认证安全专家(CKS)学习指南(一)
最新发布
龙哥盟
01-06 1688
CKS 考试验证你在 Kubernetes 中与安全相关的实际操作知识。你需要理解核心 Kubernetes 基元和概念,以满足安全需求,如 RBAC、网络策略和 Ingress。考试还涉及有用的第三方安全工具。你需要展示如何有效地使用这些工具。通过 CKA 考试是 CKS 考试的必要条件。如果你还没有通过 CKA 考试,请确保先通过 CKA。以下章节与考试大纲一致,这样你可以将内容映射到学习目标上。每章结束时,你会找到一些示例练习来巩固你的知识。每个领域的讨论以对最重要的学习要点的简短总结结束。
对ip blocks的理解
努力的志 的博客
09-01 1767
case CHIP_POLARIS10: case CHIP_POLARIS11: case CHIP_POLARIS12: case CHIP_VEGAM: 这系列的ip_blocks注册的有: amdgpu_device_ip_block_add(adev, &vi_common_ip_block); amdgpu_device_ip_block_add(adev, &gmc_v8_1_ip_block); amdgpu_device_ip_bloc
kubernetes/k8s概念】k8s 网络策略
zhonglinzhang
12-25 7612
默认 Pod 是未隔离的,它们可以从任何的源接收请求。Pod 的使用网络策略后,Pod 就会变成隔离的。 一旦 Namespace 中配置的网络策略能够选择一个特定的 Pod,这个 Pod 将拒绝任何该网络策略不允许的连接。(Namespace 中其它未被网络策略选中的 Pod 将继续接收所有流量) 默认情况下,每个Pod之间是可以相互访问的。但在某些场景中,不同的...
k8s容器限速
weixin_45588686的博客
12-02 1662
k8s calico下的容器网络流量限速
Rancher v2.5 使用 Ingress Controller 限制集群外部 ip 访问集群服务
小康子的博客
04-17 1373
Rancher 部署工作负载,通过 NodePort 将 Service 服务映射后,无法通过防火墙策略对集群外客户端访问进行限制,在公司研发环境内存在风险,易被扫描到。经过查找资料,只能通过 Ingress 实现对服务访问的限制。
k8s pod网络限速
魏志标的博客
04-28 4415
在生产环境中有时候需要对pod进行网络限速,具体的步骤如下: 本次测试网络插件为calico 一、确认k8s版本 [root@node1 ~]# kubectl get node NAME STATUS ROLES AGE VERSION node1 Ready master 42h v1.18.6 node2 Ready master 42h v1.18.6 node3 Ready master 42h v1.18.6 二、修改c
Azure Kubernetes Service Standard LB Ingress 限制源IP访问
AzureNetworking的博客
09-11 662
关于AKS 关于负载均衡Ingress 时候,限制源IP范围,基于spec下的loadBalancerSourceRanges 字段,参阅如下: 引用如下的源: https://v1-16.docs.kubernetes.io/zh/docs/concepts/services-networking/service/#externalname Kubectl 解释器如下: [root@kubctl ~]# kubectl explain Service.spec.loadBalancerSou
k8s(4)-Service三种类型以及内外网络访问Pod
weixin_48878440的博客
08-30 3367
默认类型,自动分配一个仅Cluster内部可以访问的虚拟IP,适用于cluster内部网络访问Service。k8s会自动分配一个IP地址赋予Service。② NodePort在ClusterIP基础上为Service在每台机器上绑定一个端口,这样就可以通过: NodePort来访问该服务。在NodePort的基础上,借助Cloud Provider创建一个外部负载均衡器,并将请求转发到NodePort。.........
通过ip限制访问,允许在kubernetes上使用Nginx Ingress控制器列出列表
weixin_26749889的博客
09-04 2202
The demo aims at running an application in Kubernetes behind a Cloud-managed public load balancer also known as an HTTP(s) load balancer which is also known as an Ingress resource in Kubernetes dictio...
k8s——15、访问控制
qq_43604376的博客
06-14 960
k8s基于角色访问控制授权:rbac
k8s常用的网络插件优化方案|干货
weixin_38320674的博客
03-14 3478
一、k8s网络通信 a.容器间通信:同一个pod内的多个容器间的通信,通过lo即可实现; b.pod之间的通信:pod ip <---> pod ip,pod和pod之间不...
Kubernetes网络安全之访问控制技术实践
Docker的专栏
05-23 1077
&#13; &#13; &#13; &#13; &#13; &#13; &#13; 在企业内使用Kubernetes,对部署在Kubernetes上的应用做访问控制是比较基本的安全需求...
K8S某些节点容器网络访问异常的一种原因——网卡“源/目的地址检查”
洒满阳光的午后的博客
06-28 1864
移动云环境,自建K8S,所有主机处于同一网段,CNI插件是用Calico,BGP模式。某些节点的容器无法与K8S其他node通信,表现为该节点的容器无法访问其他节点及节点上的容器和服务,其他节点和节点上容器也无法访问该节点上的容器,节点间通信正常,仿佛该节点的容器被隔离了一样。通过在容器内及节点上抓包可以看到,数据包在节点与节点网卡之间丢失,如图:异常节点的网卡开启了“源目的地址检查”。该选项移动云默认开启,但无相关介绍。我们从华为云的文档中找到了一些介绍:默认情况下,“源/目的检查”状态为“ON”,系统会
外部网络访问K8S的POD服务端口简单实现
热门推荐
lsysafe的博客
01-12 1万+
1、通过访问POD所在主机的端口连接POD提供的服务 使用了hostPort的方式 [root@v75 yml]# cat hostpath.yml  apiVersion: v1 kind: Pod metadata:   name: test-pd spec:   containers:   - image: nginx     name: test-container     ports...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值