Kubernets NetworkPolicy Ingress

最新推荐文章于 2025-03-12 14:56:33 发布
最新推荐文章于 2025-03-12 14:56:33 发布
阅读量488 收藏
点赞数
分类专栏: kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_29778131/article/details/85051039
版权
本文深入探讨Kubernetes网络策略的配置与应用,通过多个实例展示如何限制不同命名空间及Pod间的网络访问,确保集群内的通信安全。从基础概念到实践操作,涵盖default命名空间内外的访问控制、特定Pod与端口的访问权限设定。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

仅允许NS内部请求

  • 拒绝所有非default的namespace请求 default 命名空间下面的资源
apiVersion: extensions/v1beta1
kind: NetworkPolicy
metadata:
  name: deny-default
  namespace: default
spec:
  ingress:
 - from:
    - podSelector: {}
  podSelector: {}
  policyTypes:
 - Ingress

内部请求隔离

  • 在default命名空间内 仅允许 标签为app: testredis 的pod访问 标签为app: default-redis-rc-2 的6379端口
apiVersion: extensions/v1beta1
kind: NetworkPolicy
metadata:
  labels:
    app: default-redis-rc-2
  name: ns-pod2pod
  namespace: default
spec:
  ingress:
 - from:
    - podSelector:
        matchLabels:
          app: testredis
    ports:
    - port: 6379
      protocol: TCP
  podSelector:
    matchLabels:
      app: default-redis-rc-2
  policyTypes:
 - Ingress

NS 内部请求

  • 仅允许 project: default 命名空间访问 app: default-redis-rc-2 的6379
apiVersion: extensions/v1beta1
kind: NetworkPolicy
metadata:
  labels:
    app: default-redis-rc-2
  name: pod2pod
  namespace: default
spec:
  ingress:
  - from:
    - namespaceSelector:
        matchLabels:
          project: default
    ports:
    - protocol: TCP
  podSelector:
    matchLabels:
      app: default-redis-rc-2
  policyTypes:
  - Ingress

集群内非本namespace请求

  • 允许ns为project: michael 访问default 命名空间下面的 app: default-redis-rc-2 下面的6379端口
apiVersion: extensions/v1beta1
kind: NetworkPolicy
metadata:
  labels:
    app: default-redis-rc-2
  name: pod2ns
  namespace: default
spec:
  ingress:
  - from:
    - namespaceSelector:
        matchLabels:
          project: michael
    ports:
    - port: 6379
      protocol: TCP
  podSelector:
    matchLabels:
      app: default-redis-rc-2
  policyTypes:
  - Ingress

允许指定NS里面的POD访问

kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
  name: ns-pod
  namespace: default
spec:
  podSelector:
    matchLabels:
      app: web
  ingress:
    - from:
      - namespaceSelector:    
          matchLabels:
             project: test
        podSelector:           
          matchLabels:
            test: pycheck

找到一个不错的github地址 内涵动态图和yaml 还有说明

https://github.com/ahmetb/kubernetes-network-policy-recipes
Kubernetes 基础:Ingress的高可用部署
在技术的广袤天地里,本博客如精准罗盘。剖析前沿科技,深掘代码奥秘,以精炼笔触,带您穿越复杂技术迷宫,速达知识彼岸。
09-10 1073
我们很少**直接使用**这些方式来对外暴露服务,因为它们都有一个比较严重的问题,那就是需要占用节点端口。 `Ingress` 就是为了解决这些问题而设计的,它允许你将 Service 映射到集群对外提供的某个端点上(由域名和端口组成的地址), 这样我们就可以在 Ingress 中将多个 Service 配置到同一个域名的不同路径下对外提供服务,避免了对节点端口的过多占用。 `Ingress` 还支持路由规则和域名配置等高级功能,就像 Nginx 那样能够承担业务系统最边缘的反向代理+网关的角色。
Kubernetes核心组件Ingress详解
weixin_72583321的博客
05-27 1698
在Kubernetes集群中,Ingress作为集群内服务对外暴露的访问接入点,几乎承载着集群内服务访问的所有流量。Ingress是Kubernetes中的一个资源对象,用来管理集群外部访问集群内部服务的方式。您可以通过Ingress资源来配置不同的转发规则,从而实现根据不同的规则设置访问集群内不同的Service所对应的后端Pod。 Ingress资源仅支持配置HTTP流量的规则,无法配置一些高级特性,例如负载均衡的算法、Sessions Affinity等,这些高级特性都需要在Ingress Cont
Kubernetes Ingress解析
Kubernetes中文社区
05-25 9526
前言 这是kubernete官方文档中Ingress Resource的翻译,因为最近工作中用到,文章也不长,也很好理解,索性翻译一下,也便于自己加深理解,同时造福kubernetes中文社区。后续准备使用Traefik来做Ingress controller,文章末尾给出了几个相关链接,实际使用案例正在摸索中,届时相关安装文档和配置说明将同步更新到kubernetes-handbook
Kubernetes 网络通信详解
2301_78537542的博客
03-12 711
一、引言1.1 背景介绍在 Kubernetes 集群中,网络通信是容器编排的核心功能之一。它不仅决定了 Pod 之间的交互方式,还影响着服务的暴露、负载均衡以及集群的可扩展性。一个高效、灵活且安全的网络架构是 Kubernetes 集群成功运行的关键。二、Kubernetes 网络通信基础2.1 Kubernetes 网络模型:每个 Pod 都拥有一个独立的 IP 地址,Pod 内的容器可以通过lo相互通信。:Service 是一个虚拟 IP,用于负载均衡和对外暴露服务。
KubernetsIngress
alex的博客
08-05 662
Ingress出现的原因 由于每个Service都要有一个负载均衡服务,这种做法实际上既浪费成本又高。作为用户,我们其实更希望看到Kubernetes内置一个全局的负载均衡器。然后通过我访问的URL,把请求转发到不同的后端Service。 这种全局的、为了代理不同后端 Service 而设置的负载均衡服务,就是 Kubernetes 里的 Ingress 服务。 所以,Ingress 的功能其实很容易理解:所谓 Ingress,就是 Service 的“Service”。 实例:把tomcat.
Kubernetes Ingress
小小的木头人的博客
04-14 546
Ingress-Nginx github 地址:https://github.com/kubernetes/ingress-nginx Ingress-Nginx 官方网站:https://kubernetes.github.io/ingress-nginx/ kubectl apply -f https://raw.githubusercontent.com/kubernetes/ing...
7-4 NetworkPolicy网络策略简介与Ingress及Egress案例
分享云原生,容器,运维等干货知识
09-25 1139
NetworkPolicy网络策略可以在 IP 地址或端口层面(OSI 第 3 层或第 4 层)控制网络流量。NetworkPolicy 是一种以应用为中心的结构,允许你设置如何允许 Pod 与网络上的各类网络“实体”通信。NetworkPolicies 适用于一端或两端与 Pod 的连接,与其他连接无关。其他被允许的 Pods(例外:Pod 无法阻塞对自身的访问)被允许的名字空间IP 组块(例外:与 Pod 运行所在的节点的通信总是被允许的, 无论 Pod 或节点的 IP 地址)
Kubernetes NetworkPolicy 网络策略浅析
DwanCloud
03-30 952
在 Kubernetes 中,NetworkPolicy 是一种用于控制 Pod 之间网络通信的资源对象。它允许用户定义一组规则,规定哪些 Pod 可以相互通信,从而实现网络隔离和安全性。NetworkPolicy 基于标签选择器来识别应用策略的 Pod,并使用入站(Ingress)和出站(Egress)规则来控制流量,提供Pod级别和 Namespace级别网络访问控制基于标签选择器:通过标签选择器来选择应用策略的 Pod。入站和出站规则:定义允许的入站和出站流量规则。
解析 Kubernetes NetworkPolicy:保护您的集群流量
zgt_certificate的博客
06-24 660
Kubernetes中的网络策略(NetworkPolicies)允许控制特定应用程序在TCP、UDP协议下的IP地址或端口级别的流量。这些策略是以应用程序为中心的,用于指定如何允许Pod通过网络与其他网络“实体”(即不同的端点和服务)进行通信。网络策略主要适用于有Pod参与的连接。在定义基于Pod或命名空间的网络策略时,可以使用选择器来指定允许哪些流量进出选定的Pod。通过上述方法和策略,Kubernetes网络策略可以有效地管理和控制Pod之间及其与外部世界的网络流量,确保集群内的安全和高效通信。
kubernetes学习-Ingress(八)
wj617906617的博客
01-19 713
访问对应的IP地址,如下图:我这里在配置window的hosts文件时,最开始不能通过k8s.wolfcode.cn域名来访问,后面才知道,由于我的电脑开了代理,需要关闭代理,才可以进行访问。这时候去获取pod发现并没有获取到,k8s-master节点的确打上了ingress=ture标签,这是由于k8s-master上的污点导致的,k8s默认不建议将应用装到master节点上。搜索ingress-nginx/kube-webhook-certgen。或者参考上述文档的评论区。使用上面文档的解决方法。
kubernetes 1.22 部署ingress
运维那些事儿
02-09 1074
一、目前环境如下: [root@middleware-test-236 ~]# kubectl get pod -n ingress-nginx NAME READY STATUS RESTARTS AGE ingress-nginx-admission-create--1-95kvv 0/1 Completed 0 40m ingress-nginx-admission-patch
ingress-policy:强制执行Kubernetes Ingress资源要求的政策
04-10
允许限制入口资源的Kubewarden策略。 该政策允许限制什么 策略配置允许设置几个属性: requireTLS : boolean 入口资源的spec是否必须包含tls属性,该属性包括入口资源的.spec.rules属性中定义的所有主机。 如果.spec.rules定义的任何主机未在.spec.rules内列出, spec.tls该策略将拒绝入口资源。 allowPorts : [<int>] .spec.rules.paths.backend.service.port内部允许的端口列表。 如果此阵列包含至少一个端口,则将拒绝任何其他端口。 denyPorts : [<int>] .spec.rules.paths.backend.service.port中拒绝端口的列表。 如果有任何端口与该阵列上的端口匹配,则将拒绝入口资源,否则它将被接受。 如果将allowPorts
Kubernetes网络原理及方案
02-23
Kubernetes网络原理及方案
Kubernetes之Ingress详解
qq_36551991的博客
12-28 2008
Kubernetes 之Ingress详解
k8a 对外服务(ingress)详解(定义,暴露,代理,重写,)
qq_51545656的博客
03-10 1853
Ingress 是 Kubernetes 中的一个 API 对象,它允许你定义一组规则,这些规则控制着外部访问你的集群内服务的方式。Ingress 可以被看作是集群的入口点,它提供了一种机制来管理外部访问到集群内部服务的 HTTP 和 HTTPS 流量。Ingress 规则基于域名和 URL 路径,将用户的请求转发到一个或多个后端服务。Ingress并不直接处理或转发流量,它需要与Ingress Controller一起使用。
kubernetes—Ingress详解
清风
03-04 7574
IngressIngress介绍Ingress使用环境准备搭建ingress环境准备service和podHttp代理(ingress-http.yaml)Https代理(ingress-https.yaml) Ingress介绍   Service对集群之外暴露服务的主要方式有两种:NotePort和LoadBalancer,但是这两种方式,都有一定的缺点: NodePort方式的缺点是会占用很多集群机器的端口,那么当集群服务变多的时候,这个缺点就愈发明显 LB方式的缺点是每个service需要一个LB
networkPolicy初识
python基础
10-19 559
networkppolicy
kuberneters安装nginx-ingress
咖啡爬虫
02-12 807
kuberneters安装nginx-ingress k8s的搭建在使用kubeadm方式安装kuberneters1.17.1已经介绍了,已经搭建好的可以忽略 准备yaml文件 网上说的使用 [root@elk-master ~]# wget https://raw.githubusercontent.com/kubernetes/ingress-nginx/master/deploy/mand...
常用的ingress策略
认知 行动 坚持
04-23 1202
常用的ingress策略 (1)将请求转发到单个后端服务上 基于这种设置,从客户端到Ingress Controller的访问请求都将被转发到后端唯一的Service上,在这种情况下Ingress无须定义任何规则。例如,将客户端的访问请求都转发到myweb:8080这个服务上的Ingress策略配置如下: (2)将到同域名不同URL的请求转发到不同的后端服务上 这种配置常用于一个网站通过不同的路径提供不同的服务的场景。例如,/web表示访问Web页面,/api表示访问API接口,对应到后端的两个服务。例如
Calico 的 BGPFilter 与 Kubernetes NetworkPolicy 如何协同工作
最新发布
04-21
好的,我需要回答用户关于Calico BGPFilter与Kubernetes NetworkPolicy协同工作机制的问题。用户之前的问题是关于如何通过BGPFilter实现跨集群服务流量的负载均衡,现在转向两者的协同工作方式。首先,我需要确保...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值