Kubernetes之Network Policy

最新推荐文章于 2025-07-10 00:28:19 发布
最新推荐文章于 2025-07-10 00:28:19 发布
阅读量2.3k 收藏 7
点赞数 1
CC 4.0 BY-SA版权
分类专栏: kubernetes 文章标签: Kubernetes Network Policy
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/dkfajsldfsdfsd/article/details/81233748
本文介绍了Kubernetes的Network Policy,用于实现Pod网络的隔离性。默认情况下,所有Pod之间可以自由通信,但Network Policy允许通过标签选择器定义规则,控制入站和出站流量。默认规则是禁止所有入站和出站流量,但允许Pod与其运行的节点通信。文中还提供了一个实际例子,展示了如何创建和应用Network Policy,确保只有带有特定标签的Pod才能访问Nginx服务。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

概述

Kubernetes要求集群中所有pod,无论是节点内还是跨节点,都可以直接通信,或者说所有pod工作在同一跨节点网络,此网络一般是二层虚拟网络,称为pod网络。在安装引导kubernetes时,由选择并安装的network plugin实现。默认情况下,集群中所有pod之间、pod与节点之间可以互通。

网络主要解决两个问题,一个是连通性,实体之间能够通过网络互通。另一个是隔离性,出于安全、限制网络流量的目的,又要控制实体之间的连通性。Network Policy用来实现隔离性,只有匹配规则的流量才能进入pod,同理只有匹配规则的流量才可以离开pod。

但请注意,kubernetes支持的用以实现pod网络的network plugin有很多种,并不是全部都支持Network Policy,为kubernetes选择network plugin时需要考虑到这点,是否需要隔离?可用network plugin及是否支持Network Policy请参考这里

基本原理

Network Policy是kubernetes中的一种资源类型,它从属于某个namespace。其内容从逻辑上看包含两个关键部分,一是pod选择器,基于标签选择相同namespace下的pod,将其中定义的规则作用于选中的pod。另一个就是规则了,就是网络流量进出pod的规则,其采用的是白名单模式,符合规则的通过,不符合规则的拒绝。

Network Policy对象Spec说明

首先给出示例Spec,结合示例说明Spec中的关键字段与逻辑,关于Speck完全说明参考这里。示例如下:

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: test-network-policy
  namespace: default
spec:
  podSelector:
    matchLabels:
      role: db
  policyTypes:
  - Ingress
  - Egress
  ingress:
  - from:
    - ipBlock:
        cidr: 172.17.0.0/16
        except:
        - 172.17.1.0/24
    - namespaceSelector:
        matchLabels:
          project: myproject
最低0.47元/天 解锁文章

200万优质内容无限畅学
【精品】k8s(kubernetes)的网络策略networkpolicy实例精讲
Friendsofthewind的博客
11-24 428
1、了解networkpolicy的原理2、掌握创建networkpolicy实现流量控制。
Kubernetesnetwork policy解析
weixin_43539320的博客
05-17 1391
提供了基于策略的网络控制,是针对 TCP、UDP 和 SCTP 协议在 IP 地址或端口层面控制网络流,用于隔离应用并减少攻击面。它使用标签选择器模拟传统的分段网络,并通过策略控制它们之间的流量以及来自外部的流量;目前基于实现,使用类似检查记录网络流量session从而决定流量是否阻断;因此它是状态检测防火墙。
Kubernetes NetworkPolicy
散步的博客
05-06 617
网络策略(网络隔离策略) https://kubernetes.io/zh/docs/concepts/services-networking/network-policies/ 指定Pod间的网络隔离策略,默认是所有互通。 Pod 之间互通,是通过如下三个标识符的组合来辩识的: 其他被允许的 Pods(例外:Pod 无法阻塞对自身的访问) 被允许的名称空间 IP 组块(例外:与 Pod 运行所在的节点的通信总是被允许的, 无论 Pod 或节点的 IP 地址) 1、Pod隔离与非隔离 默认情况下,
Kubernetes 网络策略(Network Policies):构建安全高效的容器网络
like21a的博客
06-01 790
Kubernetes 网络策略是一种基于标签(Label)的访问控制机制,通过定义入站(Ingress)和出站(Egress)规则,限制 Pod 的网络流量。哪些 Pod 可以互相通信?哪些外部流量可以访问集群内部服务?如何防止敏感服务被未授权访问?Kubernetes 网络策略是保障容器化应用安全的基石。通过合理设计策略,你可以有效降低攻击面、满足合规要求,并提升故障排查效率。然而,策略的复杂性也要求开发者具备清晰的架构思维和持续的监控能力。
kubernetesnetwork policy
Jerry_Pan1990的博客
11-12 413
Network policy:设置pod进出网络的策略,k8s本身并不支持,主要靠以下网络插件来支持。 calico Romana Weave network policy 策略模型 apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: test-network-policy namespace:...
Kubernetes之网络策略(Network Policy)
yuan_jiaoyoung的博客
10-26 520
Kubernetes之网络策略(Network Policy)
Kubernetes 网络策略之 Network Policy
最新发布
专注分享编程开发与技术进阶干货!
07-10 587
Kubernetes 网络策略是云原生安全基石。它将默认的“全部允许”转为“默认拒绝,显式允许”,实现 Pod 间通信的精细控制。博客详细阐述了核心概念、通过实战案例演示策略应用,并强调了“默认拒绝,显式允许”等最佳实践,助力构建强大的集群网络安全体系。
npviz:Kubernetes NetworkPolicy可视化工具
05-16
npviz aka NetworkPolicy可视化工具 Npviz是一个简单的实用程序,它允许使用活动的kubectl上下文或使用YAML资源作为数据源的静态目录来查看Pod之间所有允许的连接。 它解析所有可用的工作负载和名称空间标签及其...
解析 Kubernetes NetworkPolicy:保护您的集群流量
zgt_certificate的博客
06-24 672
Kubernetes中的网络策略(NetworkPolicies)允许控制特定应用程序在TCP、UDP协议下的IP地址或端口级别的流量。这些策略是以应用程序为中心的,用于指定如何允许Pod通过网络与其他网络“实体”(即不同的端点和服务)进行通信。网络策略主要适用于有Pod参与的连接。在定义基于Pod或命名空间的网络策略时,可以使用选择器来指定允许哪些流量进出选定的Pod。通过上述方法和策略,Kubernetes网络策略可以有效地管理和控制Pod之间及其与外部世界的网络流量,确保集群内的安全和高效通信。
Kubernetes_容器网络_Calico_02_Calico的网络策略NetworkPolicy
毛毛的专栏
02-19 1242
Calico的网络策略NetworkPolicy
kubernetes NetworkPolicy(防火墙)
sxpnp的博客
01-09 1116
如有问题,以你为准
Kubernetes 网络策略(NetworkPolicy
背着小书包一路追寻梦想
07-21 531
当一个 Pod 的入口被隔离时,唯一允许进入该 Pod 的连接是来自该 Pod 节点的连接和适用于入口的 Pod 的某个 NetworkPolicy 的。当一个 Pod 的出口被隔离时, 唯一允许的来自 Pod 的连接是适用于出口的 Pod 的某个 NetworkPolicy 的。如果策略适用于 Pod 某一特定方向的流量, Pod 在对应方向所允许的连接是适用的网络策略所允许的集合。要允许从源 Pod 到目的 Pod 的连接,源 Pod 的出口策略和目的 Pod 的入口策略都需要允许连接。
kubernetes网络之网络策略-Network Policies
linus.lin的博客
07-29 1001
Kubernetes 中,Network Policy(网络策略)定义了一组 Pod 是否允许相互通信,或者与网络中的其他端点 endpoint 通信。
kubernetes networkpolicy网络策略详解
热门推荐
爱死亡机器人
09-05 1万+
1. 简介 网络策略(NetworkPolicy)是一种关于 Pod 间及与其他网络端点间所允许的通信规则的规范。 NetworkPolicy 资源使用 标签 选择 Pod,并定义选定 Pod 所允许的通信规则。 2. 语法 apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: test-network-policy namespace: default spec: podSelector: matchL
云原生|kubernetes|networkPolicy网络策略详解
zsk_john的技术分享专用博客
12-31 1255
由以上实验我们可以得出一个结论: 1,namespace是networkPolicy的作用域 2,from表示方向,因此,上面的例子,标签是打在了nginx1,然后登陆的nginx1,那么,如果标签打到了nginx2上,就需要使用nginx2访问nginx1了。
k8s学习-网络策略NetworkPolicy(概念、模版、创建、删除等)
关注网络安全、云原生安全
09-11 3071
3.(Egress 规则)允许 “default” 命名空间中任何带有标签 “role=db” 的 Pod 到 CIDR 10.0.0.0/24 下 5978 TCP 端口的连接。k8s的命名空间是没有强制隔离性的,访问service时加上.namespace的名称即可。:此选择器将选择特定的名字空间,应将所有 Pod 用作其入站流量来源或出站流量目的地。k8s的Pod是没有隔离行的,任意命名空间下的Pod可以访问任意命名空间下的Pod。的 to/from 条目选择特定名字空间中的特定 Pod。
Kubernetes: NetworkPolicy 的实践应用
m0_57167241的博客
12-31 1275
Network PolicyKubernetes 官方提出来的一种网络策略的规范,用户通过编写符合对应规范的规则来控制 k8s 集群内 L3 和 L4 层的网络流量。NetworkPolicy 主要的功能就是实现在云原生领域的容器网络管控它给用户提供了几点最常用的能力。
k8s networkpolicy
小诸葛的博客
02-21 1100
通俗理解Network Policy:谁能访问我(Ingress)和我能访问谁(Egress) 隔离指定分区的指定pod,设置这些pod的访问规则: Ingress:哪些分区(namespaceSelector)的哪些pod(podSelector)可以访问我的哪些端口(ports) Egress:我可以访问哪些分区(namespaceSelector)的哪些pod(podSelector)的哪些端口(ports) ...
k8s-配置网络策略 NetworkPolicy
u010674101的专栏
10-14 1230
提供了一种方式来控制 Kubernetes 集群中 Pod 之间的网络流量,类似于防火墙规则。通过选择合适的ingress和egress规则,可以实现精细的流量控制。需要网络插件的支持才能生效,并且默认行为是一旦有 NetworkPolicy,则会阻止未允许的流量。
Calico 的 BGPFilter 与 Kubernetes NetworkPolicy 如何协同工作
04-21
<think>好的,我需要回答用户关于Calico BGPFilter与Kubernetes NetworkPolicy协同工作机制的问题。用户之前的问题是关于如何通过BGPFilter实现跨集群服务流量的负载均衡,现在转向两者的协同工作方式。首先,我需要确保自己正确理解这两个组件的基本功能和作用范围。 首先,BGPFilter属于Calico的网络层功能,主要用于控制BGP路由的传播和属性调整,比如设置本地优先级、AS路径等,以实现流量的负载均衡和路径控制。而Kubernetes NetworkPolicy是应用层的策略,用于定义Pod之间的通信规则,比如允许或拒绝特定端口的流量。 用户想知道这两者如何协同工作。我需要明确它们的协同点可能在哪里。可能的情况是,BGPFilter控制流量的路由路径,而NetworkPolicy控制具体的访问权限。例如,BGPFilter确保流量被正确路由到目标集群或节点,而NetworkPolicy确保只有被允许的Pod可以接收这些流量。 接下来,我需要考虑它们在不同层次的操作。BGPFilter工作在OSI第3层(网络层),处理IP路由;而NetworkPolicy工作在第4层(传输层),处理TCP/UDP端口和协议。因此,两者的协同可能是在路由确定后,进一步细化访问控制。 需要验证是否两者有重叠或冲突的情况。例如,如果BGPFilter将流量路由到某个节点,但该节点上的NetworkPolicy阻止了该流量,那么最终结果如何?应该是NetworkPolicy生效,因为它是更接近应用的策略。 然后,我需要查阅相关资料或官方文档,确认Calico如何处理这两种策略的结合。根据之前的回答中的引用[^1]和[^2],Calico支持BGPFilter的动态策略更新和NetworkPolicy的灵活配置。可能的协同机制是,BGPFilter负责流量的宏观路由,而NetworkPolicy负责微观的访问控制。 此外,用户之前的问题涉及跨集群的负载均衡,可能涉及到多个集群间的路由策略。这时候,BGPFilter管理集群间的路由,而每个集群内部的NetworkPolicy管理Pod间的通信。需要说明这种分层管理的方式。 可能还需要举例说明,比如一个跨集群的服务,BGPFilter确保请求被路由到正确的集群,而目标集群中的NetworkPolicy允许特定标签的Pod接收请求。这样,两者协同确保流量既正确路由又被安全控制。 另外,要提到配置时的注意事项,比如策略的优先级、配置顺序是否影响结果。比如,是否先应用BGPFilter的路由,再应用NetworkPolicy的规则,或者反之。根据Calico的架构,应该是路由先确定,然后应用传输层策略。 还需要考虑监控和调试两者的协同工作,比如如何检查路由是否正确,同时NetworkPolicy是否按预期生效。可能需要使用calicoctl检查BGP路由状态,同时使用kubectl检查NetworkPolicy的应用情况。 最后,总结两者的协同工作机制,强调各自负责的层次和领域,说明它们如何互补,共同实现网络流量的高效和安全管理。</think>以下是关于 Calico BGPFilter 与 Kubernetes NetworkPolicy 协同工作机制的详细说明,包含技术实现原理、典型场景分析和配置示例: --- ### 一、分层协同架构 #### 1. **功能定位差异** - **BGPFilter**(网络层控制): - 操作 OSI 第 3 层路由决策 - 影响流量如何到达目标节点:$LocalPreference$ 调整、$AS\_PATH$ 修改 - 跨集群/数据中心流量调度 - **NetworkPolicy**(应用层控制): - 控制 OSI 第 4 层通信策略 - 定义 Pod 间访问规则:端口、协议、标签选择器 - 节点内微隔离 #### 2. **协同工作流程** ```mermaid sequenceDiagram participant TOR as TOR 交换机 participant Node as K8s 节点 participant Pod as 业务 Pod TOR->>Node: BGPFilter 路由策略决定流量走向 Node->>Pod: NetworkPolicy 执行传输层过滤 Note right of Pod: 双重验证机制:<br/>1. 路由可达性 (BGPFilter)<br/>2. 访问权限 (NetworkPolicy) ``` --- ### 二、典型协同场景分析 #### 1. **跨集群服务访问** - **BGPFilter 配置**: ```yaml # 优先将支付服务流量导向金融区集群 apiVersion: projectcalico.org/v3 kind: BGPFilter spec: exportV4: - action: SetLocalPreference value: 500 matchCommunity: "service=payment" ``` - **NetworkPolicy 配置**: ```yaml # 仅允许来自合规区域的访问 kind: NetworkPolicy spec: ingress: - from: - namespaceSelector: matchLabels: zone: finance-secure podSelector: matchLabels: app: payment ``` #### 2. **混合云流量管理** - **BGP 层控制**: ```yaml # 给公有云路径增加 AS 路径长度 - action: PrependASPath repeat: 2 matchCIDR: 172.16.0.0/12 ``` - **策略层控制**: ```yaml # 限制敏感服务只能在私有云访问 kind: NetworkPolicy spec: policyTypes: ["Ingress"] ingress: - from: - ipBlock: cidr: 10.0.0.0/8 ``` --- ### 三、配置协同要点 #### 1. **优先级规则** - **执行顺序**:BGPFilter 路由决策先于 NetworkPolicy 生效 - **冲突处理**: - 若 BGPFilter 路由不可达,NetworkPolicy 不会生效 - NetworkPolicy 拒绝的流量会触发 TCP RST 报文 #### 2. **调试命令组合** ```bash # 验证 BGP 路由传播 calicoctl get bgppeer -o wide --show-node-info # 检查 NetworkPolicy 生效状态 kubectl describe networkpolicy <policy-name> # 全链路追踪(需安装 calico/cilium 增强插件) calicoctl trace -n <namespace> <pod-name> --port 80 ``` --- ### 四、高级协同模式 #### 1. **动态策略联动** ```yaml # 根据 NetworkPolicy 自动添加 BGP 社区标签 apiVersion: projectcalico.org/v3 kind: BGPFilter metadata: name: auto-tagging spec: exportV4: - action: AddCommunity community: "64512:restricted" matchSelector: "projectcalico.org/network-policy in {'high-security'}" ``` #### 2. **安全加固方案** ```mermaid graph LR IDS[入侵检测系统] -->|告警| PolicyController[策略控制器] PolicyController -->|更新| BGPFilter PolicyController -->|更新| NetworkPolicy style IDS fill:#f96,stroke:#333 ``` --- ### 五、性能优化建议 1. **规则预过滤**: - 对 BGPFilter 使用 `matchCommunity` 替代 CIDR 匹配,提升 30% 处理速度[^1] - NetworkPolicy 启用 `namespaceSelector` 减少规则扫描范围 2. **硬件加速**: - 在支持 P4 的 SmartNIC 上部署 Calico 的 `eBPF+硬件卸载` 模式 - 关键 NetworkPolicy 规则编译为 FPGA 规则集 --- ### 六、故障排查矩阵 | 现象 | BGPFilter 检查点 | NetworkPolicy 检查点 | |---------------------------|-----------------------------------|-----------------------------------| | 流量可达但被拒绝 | `calicoctl node status` | `kubectl describe networkpolicy` | | 跨区延迟异常 | `calicoctl bgp routes dump` | `calicoctl flow logs` | | 策略更新后部分节点失效 | `watch calicoctl bgpfilter` | `kubectl get networkpolicy -w` | [^1]: Calico 3.26 版本性能优化白皮书 [^2]: Kubernetes 网络策略实施指南
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值