15、Kubernetes 容器网络安全全解析

Kubernetes 容器网络安全全解析

1. 网络基础与节点地址分配

在网络环境中，节点的地址分配并非总是预先确定范围。例如在 AWS 上，可插拔的 IP 地址管理模块会从底层 VPC 关联的地址范围中动态分配 Pod 的 IP 地址。

Kubernetes 要求集群内的 Pod 之间能够直接连接，无需网络地址转换（NAT）。不过，在其他情况下，NAT 允许将 IP 地址进行映射，使得一个实体认为目标地址是某个特定的 IP，即便这并非目标设备的实际地址。这也是 IPv4 比最初预期使用时间更长的原因之一，尽管可分配 IP 地址的设备数量远超 IPv4 地址空间的可用地址，但 NAT 让我们能在私有网络中重用大部分 IP 地址。在 Kubernetes 中，网络安全策略和分段可能会阻止 Pod 之间的通信，但如果两个 Pod 可以通信，它们能透明地看到彼此的 IP 地址，无需 NAT 映射。不过，Pod 与外部世界之间仍可能存在 NAT。

Kubernetes 服务是一种 NAT 形式。服务本身是一种资源，会被分配一个自己的 IP 地址，但这个地址仅用于路由，服务没有接口，也不会实际监听或发送流量。服务关联着一些实际执行工作的 Pod，发送到服务 IP 地址的数据包需要转发到其中一个 Pod。这一过程通过第 3 层的规则实现。

2. 网络隔离

两个组件只有连接到同一网络才能相互通信。在传统基于主机的环境中，可能会为每个应用设置单独的 VLAN 来实现隔离。在容器世界里，Docker 可通过 docker network 命令轻松设置多个网络，但这并不完全适用于 Kubernetes 模型，因为在 Kuber