zoukankan      html  css  js  c++  java
  • Kubernetes隔离pod的网络

      本章介绍如何通过限制pod可以与其他哪些pod通信,来确保pod之间的网络安全。

      是否可以进行这些配置取决于集群中使用的容器网络插件。如果网络插件支持,可以通过NetworkPolicy资源配置网络隔离。

      一个NetworkPolicy会应用在匹配它的标签选择器的pod上,指明这些允许访问这些pod的源地址,或这些pod可以访问的目标地址。这些分别由入向(ingress) 和出向(egress)规则指定。这两种规则都可以匹配由标签选择器选出的pod,或者一个namespace中的所有pod,或者通过无类别域间路由(Classless Inter-Domain Routing, CIDR)指定的IP地址段。

      将介绍这两种规则及全部三种匹配选项。

      注意:入向规则与Ingress资源无关。

     

    1.在一个命名空间中启用网络隔离

      在默认情况下,某一命名空间中的pod可以被任意来源访问。首先,需要改变这个设定。需要创建一个default-deny NetworkPolicy,它会阻止任何客户端访问中的pod。这个NetworkPolicy的定义如以下代码所示。

    #代码13.21 default-deny NetworkPolicy定义: network-policy-default-deny.yaml
    apiVersion: networking.k8s.io/v1
    kind: NetworkPolicy
    metadata:
      name: default-deny
    spec:
      podSelector:            #空的标签选择器匹配命名空间中的所有pod

      在任何一个特定的命名空间中创建该NetworkPolicy之后,任何客户端都不能访问该命名空间中的pod。

      注意:集群中的CNI插件或其他网络方案需要支持NetworkPolicy,否则NetworkPolicy将不会影响pod之间的可达性。

     

    2.允许同一命名空间中的部分pod访问一个服务端pod

      为了允许同一命名空间中的客户端pod访问该命名空间的pod,需要指明哪些pod可以访问。接下来,通过例子来探究如何做到这些。

      假设在foo namespace中有一个pod运行PostgreSQL数据库,以及一个使用该数据库的网页服务器pod,其他pod也在这个命名空间中运行,然而你不允许它们连接数据库。为了保障网络安全,需要在数据库pod所在的命名空间中创建一个如以下代码清单所示的NetworkPolicy资源。

    #代码13.22 为Postgres pod使用的NetworkPolicy:network-policy-postgres.yaml
    apiVersion: networking.k8s.io/v1
    kind: NetworkPolicy
    metadata:
      name: postgres-netpolicy
    spec:                              #这个策略确保了对具有app=database标签的pod的访问安全性
      podSelector:
        matchLabels:
          app: database
      ingress:                        #它予许来自具有app=webserver标签的pod的访问
      - from:
        - podSelector:
            matchLabels:
              app: webserver
        ports:                             #予许对这个端口访问
        - port: 5432

      例子中的NetworkPolicy允许具有app=webserver标签的pod访问具有app=database的pod的访问,并且仅限访问5432端口,如图13.4所示。

      客户端pod通常通过Service而非直接访问pod来访问服务端pod,但这对结果没有改变。NetworkPolicy在通过Service访问时仍然会被执行。

     

     

    3.在不同 Kubernetes 命名空间之间进行网络隔离

      现在来看有另一个多个租户使用同一Kubernetes集群的例子。每个租户有多个命名空间,每个命名空间中有一个标签指明它们属于哪个租户。例如,有一个租户Manning,它的所有命名空间中都有标签tenant:manning。其中的一个命名空间中运行了一个微服务Shopping Cart,它需要允许同一租户下所有命名空间的所有pod访问。显然,其他租户禁止访问这个微服务。

      为了保障该微服务安全,可以创建如下的NetworkPolicy资源,如以下代码所示。

    #代码13.23 为shopping cart微服务中的pod使用的NetworkPolicy: network-policy-cart.yaml
    apiVersion: networking.k8s.io/v1
    kind: NetworkPolicy
    metadata:
      name: shoppingcart-netpolicy
    spec:
      podSelector:                          #该策略应用于具有app=shopping-cart标签的pod
        matchLabels:
          app: shopping-cart 
      ingress:
      - from:
        - namespaceSelector:         #只有在具有tenant=manning标签的命名空间中运行的pod可以访问该微服务
            matchLabels:
              tenant: manning
        ports:
        - port: 80

      以上NetworkPolicy保证了只有具有tenant=manning标签的命名空间中运行的pod可以访问Shopping Cart微服务,如图13.5所示。

      如果shopping cart服务的提供者需要允许其他租户(可能是他们的合作公司)访问该服务,他们可以创建一个新的NetworkPolicy资源,或者在之前的Networkpolicy中添加一条入向规则。

      注意:在多租户的Kubernetes集群中,通常租户不能为他们的命名空间添加标签(或注释)。否则,他们可以规避基于namespaceSelector的入向规则。

     

    4.使用CIDR隔离网络

      除了通过在pod选择器或命名空间选择器定义哪些pod可以访问NetworkPolicy资源中指定的目标pod,还可以通过CIDR表示法指定一个IP段。例如,为了允许IP在192.168.1.1到192.168.1.255范围内的客户端访问之前提到的shopping-cart的pod, 可以在入向规则中加入如以下代码清单所示的代码。

    #代码13.24 在入向规则中指明IP段:network-policy-cidr.yaml
    apiVersion: networking.k8s.io/v1
    kind: NetworkPolicy
    metadata:
      name: ipblock-netpolicy
    spec:
      podSelector:
        matchLabels:
          app: shopping-cart
      ingress:
      - from:
        - ipBlock:                                #这条入向规则来自192.168.1.0/24段的客户端的流量
            cidr: 192.168.1.0/24

    5.限制pod的对外访问流量

      在之前的所有例子中,已经通过入向规则限制了进入pod的访问流量。然而,也可以通过出向规则限制pod的对外访问流量。以下代码清单展示了一个例子。

    #代码13.25 在NetworkPolicy中使用出现规则:network-policy-egress.yaml
    apiVersion: networking.k8s.io/v1
    kind: NetworkPolicy
    metadata:
      name: egress-net-policy
    spec:
      podSelector:                      #这个策略应用于包含app=webserver标签的pod
        matchLabels:
          app: webserver
      egress:                               #限制pod的出网流量
      - to:
        - podSelector:                  #webserver的pod只能与有app=webserver标签的pod通信
            matchLabels:
              app: database
        ports:
        - port: 5432

      以上的NetworkPolicy仅允许具有标签app=webserver的pod访问具有标签app=database的pod,除此之外不能访问任何地址(不论是其他pod,还是任何其他的IP,无论在集群内部还是外部。

    作者:小家电维修

    相见有时,后会无期。

  • 相关阅读:
    php中的高危函数
    PHP 站点相对包含,路径的问题解决方法(include,require)
    PHP中::、->、self、$this操作符的区别
    C#常用类库(100多个)
    Android滑动菜单特效实现,仿人人客户端侧滑效果,史上最简单的侧滑实现
    转载:Android调用相册、拍照实现缩放、切割图片
    在浏览器上直接输入url 时,中文传参乱码问题
    一个asp采集程序
    c#微信开发 转
    如何使用JS来检测游览器是什么类型,或android是什么版本号- 转载
  • 原文地址:https://www.cnblogs.com/lizexiong/p/14813296.html
Copyright © 2011-2022 走看看