k8s网络插件calico实现网络隔离

最新推荐文章于 2025-03-17 20:00:00 发布
最新推荐文章于 2025-03-17 20:00:00 发布
阅读量3.1k 收藏 5
点赞数
文章标签: kubernetes 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_41582851/article/details/106756888
版权

文章目录

1、隔离模型

在这里插入图片描述

2、创建命名空间

创建明明空间sub1和sub2,分别打上对应标签ns:sub1和 ns:sub2

apiVersion: v1
kind: Namespace
metadata:
   name: sub1
   labels:
     ns: sub1
---
apiVersion: v1
kind: Namespace
metadata:
   name: sub2
   labels:
     ns: sub2

3、创建网络访问策略

.spec.PodSelector

顾名思义,它是pod选择器,基于标签选择与Network Policy处于同一namespace下的pod,如果pod被选中,则对其应用Network Policy中定义的规则。此为可选字段,当没有此字段时,表示选中所有pod。

.spec.PolicyTypes

Network Policy定义的规则可以分成两种,一种是入pod的Ingress规则,一种是出pod的Egress规则。本字段可以看作是一个开关,如果其中包含Ingress,则Ingress部分定义的规则生效,如果是Egress则Egress部分定义的规则生效,如果都包含则全部生效。当然此字段也可选,如果没有指定的话,则默认Ingress生效,如果Egress部分有定义的话,Egress才生效。怎么理解这句话,下文会提到,没有明确定义Ingress、Egress部分,它也是一种规则,默认规则而非没有规则。

.spec.ingress与.spec.egress

前者定义入pod规则,后者定义出pod规则,详细参考这里,这里只讲一下重点。上例中ingress与egress都只包含一条规则,两者都是数组,可以包含多条规则。当包含多条时,条目之间的逻辑关系是“或”,只要匹配其中一条就可以。.spec.ingress[].from
也是数组,数组成员对访问pod的外部source进行描述,符合条件的source才可以访问pod,有多种方法,如示例中的ip地址块、名称空间、pod标签等,数组中的成员也是逻辑或的关系。spec.ingress[].from.prots表示允许通过的协议及端口号。

.spec.egress.to定义的是pod想要访问的外部destination,其它与ingress相同。

.spec.ingress.to.namespaceSelector

namespace选择器,可以通过labels进行选择,此networkpolicy所属namespace下所有pod可以访问被选中的namespace下的pod

.spec.ingress.from.namespaceSelector

namespace选择器,可以通过labels进行选择,此networkpolicy所属namespace下所有pod可以被选中的namespace下的pod访问

1、为default创建访问策略

default中所有pod

只支持外网的入网和出网

屏蔽所有内网的出网和入网

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: default
spec:
  podSelector: {
   }
  ingress:
    - from:
      - ipBlock:
          cidr: 0.0.0.0/0
          except:
          - 172.1.0.0/12
  egress:
    - to:
      - ipBlock:
          cidr: 0.0.0.0/0
          except:
          - 172.1.0.0/12
  policyTypes:
  - Egress
  - Ingress

2、为sub1和sub2创建访问策略

sub1和sub2相同

相比于default的访问策略

sub1和sub2中同一命名空间之中的pod可以相互访问

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: sub1
  namespace: sub1
s
最低0.47元/天 解锁文章
->Dance
关注
K8S系列】深入解析k8s网络插件Calico
颜淡慕潇
07-20 2万+
Calico是一个强大的开源容器网络网络安全解决方案,广泛应用于Kubernetes集群和其他容器编排平台。 它通过利用BGP(Border Gateway Protocol)协议和Linux网络命名空间实现高性能的容器间通信和网络策略控制。
K8S 部署网络插件calico
叱咤少帅的博客
02-03 948
K8S 部署网络插件calico
calico多租户网络隔离和部分租户业务隔离方案
weixin_42688255的博客
01-19 1857
calico网络隔离方案摘要一.前提条件二.Ingress入口网关2.1 不同namespace间的多租户网络隔离2.1.1 创建frontend, backend, client, and management-ui 等应用2.1.2 启用隔离策略2.1.3 增加一个授权策略以允许UI应用访问stars和client命名空间中的服务2.1.4 创建一个backend-policy.yaml的授权...
Kubernetes网络隔离
Holmes的博客
06-25 753
Kubernetes网络隔离 Network Policies 隔离手段:NetworkPolicy 要在Kubernetes集群中使用NetworkPolicy,CNI网络插件必须维护一个NetworkPolicy Controller,支持Kubernetes 的NetworkPolicy。实现了NetworkPolicy的网络插件包括Weave和Calico等,但不包括Flannel。通过控制循环的方式对NetworkPolicy对象的增删改查作出响应,然后在宿主机上完成iptables规则的配置工作
如何在 K8s 内部实现安全网络隔离
最新发布
XMYX-0
03-17 816
定义:NetworkPolicy 是 Kubernetes 中的一种资源对象,用于定义 Pod 之间及与外部网络之间允许或拒绝的流量规则。目标:通过基于标签的选择器模型,实现应用为中心的网络访问控制和隔离,降低未经授权的流量风险。作用域:网络策略仅在所在的命名空间内生效,一旦某个 Pod 被 NetworkPolicy 选中,该 Pod 将默认处于隔离状态,只允许明确允许的流量进入或离开。核心原则:遵循白名单机制,策略未明确允许的流量均会被拒绝。
Calico使用BGP做网络隔离
whz-emm的博客
11-22 1433
Calico使用BGP做网络隔离,关闭全互联模式,自定义BGPPeer做网络隔离 本次测试环境节点情况 [root@bgp-node1 ~]# calicoctl get node -o wide NAME ASN IPV4 IPV6 bgp-master1 (64512) 172.20.42.80/32 bgp-node1 (64512) 172.20.42.81/32 bgp-node2 (64512) 172.20...
【云原生、k8sCalico网络策略
2302_77582029的博客
08-17 1641
【云原生、k8sCalico网络策略
k8s的pod内部隔离
weixin_47677347的博客
12-11 566
pod内部容器的名称空间隔离
calico 网络结合 k8s networkpolicy 实现租户隔离及部分租户下业务隔离
qianggezhishen的专栏
05-21 5539
实现 namespace 之间多租户网络隔离 我们经常需要按租户进行网络隔离k8s 提供了 networkpolicy 来定义网络策略,从而实现网络隔离等。Network Policy 提供了基于策略的网络控制,用于隔离应用并减少攻击面。它使用标签选择器模拟传统的分段网络,并通过策略控制它们之间的流量以及来自外部的流量。但这个 networkpolicy 需要有第外方外接网络插件的支持,如Ca...
K8S+Calico网络组件详解
2302_82091138的博客
06-06 2239
源主机的 flanneld 服务将原本的数据内容 UDP 封装后根据自己的路由表投递给目的节点的 flanneld 服务,数据到达以后被解包,然后直接进入目的节点的 flannel0 虚拟网卡,之后被转发到目的主机的 docker0 虚拟网卡,最后就像本机容器通信一下的有 docker0 路由到达目标容器。它的作用相当于一个基于 IP 层的网桥。一般来说,普通的网桥是基于 mac 层的,根本不需 IP,而这个 ipip 则是通过两端的路由做一个 tunnel,把两个本来不通的网络通过点对点连接起来。
k8s-kubernetes--网络策略、flannel网络插件calico网络插件
Gong_yz的博客
03-12 7120
网络策略通过网络插件实现。要使用网络策略,你必须使用支持 NetworkPolicy 的网络解决方案。 创建一个 NetworkPolicy 资源对象而没有控制器来使它生效的话,是没有任何作用的。(Flannel不支持 NetworkPolicy,所以使用Flannei网络插件是不会隔离pod的)
calico+NetworkPolicy实践
09-27
calico简介 NetworkPolicy简介 租户间网络隔离方案及方案用例测试演示
calico NetworkPolicy
雍伟的博客
03-21 397
创建策略 apiVersion: v1 kind: Namespace metadata: name: ns-calico-01 --- apiVersion: apps/v1 kind: Deployment metadata: namespace: ns-calico-01 name: calico-01-busybox labels: app: calico-01-busybox spec: replicas: 1 selector: matchLabels:
kubernetes网络(一)之calico详解
鲜少伟的博客
09-22 2297
本文介绍Kubernetes最流行的网络解决方案calico
IP隔离浏览器是什么?一文搞懂!
2301_77170389的博客
02-07 1219
IP隔离浏览器通过技术整合(独立IP、指纹模拟、数据隔离)解决了多账户管理中的关联风险,广泛应用于电商、社媒、数据爬取等领域。AdsPower的IP隔离技术通过灵活配置、独立环境、安全防护和团队协作等功能,解决了多账号管理中的核心痛点。其与高质量代理服务的深度整合进一步提升了隔离效果,帮助用户实现高效、安全的账号矩阵管理,是实现同设备多账号隔离访问的必备工具。
kubeadm安装k8s 1.25高可用集群
青梅煮酒
02-05 2697
calico BGP通信是基于TCP协议的,所以只要节点间三层互通即可完成,即三层互通的环境bird就能生成与邻居有关的路由。但是这些路由和flannel host-gateway模式一样,需要二层互通才能访问的通,因此如果在实际环境中配置了BGP模式生成了路由但是不同节点间pod访问不通,可能需要再确认下节点间是否二层互通。为了解决节点间二层不通场景下的跨节点通信问题,calico也有自己的解决方案——IPIP模式。
Kubernetes网络插件详解 - Calico篇 - 网络基础
weixin_49925141的博客
09-03 760
云原生Kubernetes并且没有创造新的网络技术,而是根据各种场景灵活的聚合使用各种网络技术。从底层通信技术来看,容器网络有Overlay模式,路由模式,以及Underlay模式三种,其中Overlay模式主要是通过虚拟化与隧道技术,屏蔽底层网络复杂路由转发,面向应用提供简单高效的通信能力。
Kubernetes(k8s)集群部署七、k8s网络通信+service扩展ingress(TLS,认证,地址重写)calico网络插件(允许指定pod访问服务,禁止其他namespace访问服务)
ninimino的博客
03-03 1189
k8s网络通信k8s网络通信1.容器间通信2.pod之间的通信2.1同一节点的pod2.2不同节点的pod之间的通信flannel网络原理flannel支持多种后端:3.pod和service通信4.pod和外网通信5.Service与集群外部客户端的通信ingress创建ingress服务:Ingress TLS 配置Ingress 认证配置(认证之前做好加密)Ingress地址重写calico网络插件:能够解决策略 k8s网络通信 k8s通过CNI接口接入其他插件实现网络通讯。目前比较流行的插件有fl
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值