【建议收藏】Kubernetes 网络策略入门:概念、示例和最佳实践,附云原生资料

news2024/12/31 6:16:19

目录

摘要

一、Kubernetes 网络策略组件

二、实施网络策略

示例 1:在命名空间中限制流量

示例 2:允许特定 Pod 的流量

示例 3:在单个策略中组合入站和出站规则

示例 4:阻止对特定 IP 范围的出站流量

三、Kubernetes 网络策略使用的最佳实践

1.确保适当的隔离

2.监控和记录网络策略活动

3.在大型集群中扩展网络策略

4.评估第三方网络策略解决方案

四、结论

五、其他资源


摘要

这篇文章介绍了 Kubernetes 网络策略的概念、作用和使用方法。Kubernetes 网络策略可以让你配置和执行一套规则,来控制集群内部的流量。它们可以提高安全性、符合合规性和简化故障排除。文章分析了网络策略的不同组成部分,包括选择器、入口规则和出口规则,并给出了不同的策略示例和最佳实践。文章的目标是让读者对使用 Kubernetes 网络策略来保护和管理流量有一个坚实的理解。

福利文末有云原生全套资料哦

在 Kubernetes 中,同一命名空间中的任何 Pod 都可以使用其 IP 地址相互通信,无论它属于哪个部署或服务。虽然这种默认行为适用于小规模应用,但在规模扩大和复杂度增加的情况下,Pod 之间的无限通信可能会增加攻击面并导致安全漏洞。

在集群中实施 Kubernetes 网络策略可以改善以下方面:

  1. 1. 安全性: 使用 Kubernetes 网络策略,你可以指定允许哪些 Pod 或服务相互通信,以及应该阻止哪些流量访问特定的资源。这样可以更容易地防止未经授权的访问敏感数据或服务。

  2. 2. 合规性: 在医疗保健或金融服务等行业,合规性要求不可妥协。通过确保流量仅在特定的工作负载之间流动,以满足合规要求。

  3. 3. 故障排除: 通过提供关于应该相互通信的 Pod 和服务的可见性,可以更轻松地解决网络问题,特别是在大型集群中。策略还可以帮助你确定网络问题的源,从而加快解决速度。

一、Kubernetes 网络策略组件

强大的网络策略包括:

  • • 策略类型: Kubernetes 网络策略有两种类型:入口和出口。入口策略允许你控制流入 Pod 的流量,而出口策略允许你控制从 Pod 流出的流量。它们在 NetworkPolicy 资源的 policyTypes 字段中指定。

  • • 入口规则: 这些定义了 Pod 的传入流量策略,指定在 NetworkPolicy 资源的 ingress 字段中。你可以定义流量的来源,可以是 Pod、命名空间或 IP 块,以及允许访问流量的目标端口或端口。

  • • 出口规则: 这些定义了 Pod 的传出流量策略。在这里,你将指定流量的目标,可以是 Pod、命名空间或 IP 块,以及允许访问流量的目标端口或端口。

  • • Pod 选择器: 这些选择要应用策略的 Pod。为选择器指定标签,与选择器匹配的 Pod 将受到策略中指定的规则的约束。

  • • 命名空间选择器: 类似于 Pod 选择器,这些允许你选择要应用策略的命名空间。

  • • IP 地址块选择器: IP 地址块选择器指定要允许或拒绝流量的 IP 地址范围。你可以使用 CIDR 表示法 [1] 来指定 IP 地址范围。

二、实施网络策略

现在,让我们进入创建、更新和删除 Kubernetes 中的网络策略。本教程将通过创建三个演示应用程序(frontend、backend 和 database),来演示如何在应用程序之间限制和允许网络流量。

首先,你需要运行一个集群。为了在你的机器上创建本地集群,我建议使用 minikube[2]。由于 minikube 默认不支持网络策略,因此请使用类似 Calico[3] 或 Weave Net[4] 的网络插件启动 minikube。

使用以下命令启动 minikube,以便你拥有带有网络支持的 minikube 集群:

minikube start --network-plugin=cni --cni=calico

有了运行中的集群,本教程使用专用命名空间来保持集群的组织性:

kubectl create namespace network-policy-tutorial

在该命名空间中创建三个示例 Pod(Backend、Database 和 Frontend):

kubectl run backend --image=nginx --namespace=network-policy-tutorial
kubectl run database --image=nginx --namespace=network-policy-tutorial
kubectl run frontend --image=nginx --namespace=network-policy-tutorial

验证 Pod 是否正在运行:

kubectl get pods --namespace=network-policy-tutorial

你应该会得到以下响应:

NAME       READY   STATUS    RESTARTS   AGE
backend    1/1     Running    0         12s
database   1/1     Running    0         12s
frontend   1/1     Running    0         22s

为 Pod 创建相应的服务:

kubectl expose pod backend --port 80 --namespace=network-policy-tutorial
kubectl expose pod database --port 80 --namespace=network-policy-tutorial
kubectl expose pod frontend --port 80 --namespace=network-policy-tutorial

获取相应服务的 IP:

kubectl get service --namespace=network-policy-tutorial

你应该会得到类似以下的响应:

NAME       TYPE        CLUSTER-IP               EXTERNAL-IP   PORT(S)   AGE
backend    ClusterIP   <BACKEND-CLUSTER-IP>     <none>        80/TCP    24s
database   ClusterIP   <DATABASE-CLUSTER-IP>    <none>        80/TCP    24s
frontend   ClusterIP   <FRONTEND-CLUSTER-IP>    <none>        80/TCP    24s

检查 frontend 是否可以与 backend 和 database 通信:

kubectl exec -it frontend --namespace=network-policy-tutorial -- curl <BACKEND-CLUSTER-IP>
kubectl exec -it frontend --namespace=network-policy-tutorial -- curl <DATABASE-CLUSTER-IP>

将 <BACKEND-CLUSTER-IP> 和 <DATABASE-CLUSTER-IP> 替换为它们各自的 IP。通过运行 kubectl get service --namespace=network-policy-tutorial 找到它们。

你会得到以下回应:

图片

示例 1:在命名空间中限制流量

此示例演示如何在 network-policy-tutorial 命名空间内限制流量。你将阻止 frontend 应用程序与 backend 和 database 应用程序通信。

首先,创建一个名为 namespace-default-deny.yaml 的策略,该策略拒绝命名空间中的所有流量:

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: namespace-default-deny
  namespace: network-policy-tutorial
spec:
  podSelector: {}
  policyTypes:
  - Ingress
  - Egress

然后运行以下命令,将网络策略配置应用于集群:

kubectl apply -f namespace-default-deny.yaml --namespace=network-policy-tutorial

现在,再次尝试从 frontend 访问 backend 和 database ,你会发现 frontend 和 backend 以及 database 之间已经无法通信了。

kubectl exec -it frontend --namespace=network-policy-tutorial -- curl <BACKEND-CLUSTER-IP>
kubectl exec -it frontend --namespace=network-policy-tutorial -- curl <DATABASE-CLUSTER-IP>

示例 2:允许特定 Pod 的流量

现在,我们看看能否在集群中允许以下外部流量:

frontend -> backend -> database

这样, frontend 只能向 backend 发送外部流量,而 backend 只能从 frontend 接收内部流量。同样, backend 只能向 database 发送外部流量,而 database 只能从 backend 接收内部流量。

创建一个名为 frontend-default-policy.yaml 的新策略,并将以下代码粘贴到其中:

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: frontend-default
  namespace: network-policy-tutorial
spec:
  podSelector:
    matchLabels:
      run: frontend
  policyTypes:
    - Egress
  egress:
    - to:
        - podSelector:
            matchLabels:
              run: backend

然后运行以下命令来应用该策略:

kubectl apply -f frontend-default-policy.yaml --namespace=network-policy-tutorial

对于 backend ,创建一个名为 backend-default-policy.yaml 的新策略,并将以下代码粘贴到其中:

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: backend-default
  namespace: network-policy-tutorial
spec:
  podSelector:
    matchLabels:
      run: backend
  policyTypes:
    - Ingress
    - Egress
  ingress:
    - from:
        - podSelector:
            matchLabels:
              run: frontend
  egress:
    - to:
        - podSelector:
            matchLabels:
              run: database

再次运行以下命令以应用该策略:

kubectl apply -f backend-default-policy.yaml --namespace=network-policy-tutorial

然后,按照类似的方式为 database 创建一个新策略 database-default-policy.yaml,并将以下代码粘贴到其中:

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: database-default
  namespace: network-policy-tutorial
spec:
  podSelector:
    matchLabels:
      run: database
  policyTypes:
    - Ingress
  ingress:
    - from:
        - podSelector:
            matchLabels:
              run: backend

运行以下命令以应用该策略:

kubectl apply -f database-default-policy.yaml --namespace=network-policy-tutorial

现在,已应用这些网络策略配置后,请执行以下操作以接收响应:

kubectl exec -it frontend --namespace=network-policy-tutorial -- curl <BACKEND-CLUSTER-IP>
kubectl exec -it backend --namespace=network-policy-tutorial -- curl <DATABASE-CLUSTER-IP>

但是,如果执行下面的这段代码,你将不会收到响应,因为在该命名空间中未打开流量流:

kubectl exec -it backend --namespace=network-policy-tutorial -- curl <FRONTEND-CLUSTER-IP>
kubectl exec -it database --namespace=network-policy-tutorial -- curl <FRONTEND-CLUSTER-IP>
kubectl exec -it database --namespace=network-policy-tutorial -- curl <BACKEND-CLUSTER-IP>

示例 3:在单个策略中组合入站和出站规则

当你需要控制集群中应用程序的入站和出站流量时,你不必为每个流量流创建单独的网络策略。相反,你可以将入站和出站流量组合到一个网络策略中,就像在这个 backend-default-policy.yaml 文件的内容中所示:

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: backend-default
  namespace: network-policy-tutorial
spec:
  podSelector:
    matchLabels:
      run: backend
  policyTypes:
    - Ingress
    - Egress
  ingress:
    - from:
        - podSelector:
            matchLabels:
              run: frontend
  egress:
    - to:
        - podSelector:
            matchLabels:
              run: database

示例 4:阻止对特定 IP 范围的出站流量

实际上,我们再来看一个例子。你也可以配置某些应用程序向你的集群中的特定 IP 发送流量。

而不是创建一个新的 yaml 配置文件,让我们更新你之前创建的 backend-default-policy.yaml 文件。你将替换 yaml 配置的出站部分。不使用 podSelector 来限制 IP 到数据库,而是使用 ipBlock

打开文件,并使用以下代码更新文件的内容:

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: backend-default
  namespace: network-policy-tutorial
spec:
  podSelector:
    matchLabels:
      run: backend
  policyTypes:
    - Ingress
    - Egress
  ingress:
    - from:
        - podSelector:
            matchLabels:
              run: frontend
  egress:
    - to:
        - ipBlock:
             cidr: <DATABASE-CLUSTER-IP>/24

在此更新的 backend-default-policy.yaml 配置中,你将阻止前端应用程序向这个 IP 范围(<DATABASE-CLUSTER-IP>/24)发送出站流量,这个 IP 范围包含你的数据库。这意味着,如果你的 <DATABASE-CLUSTER-IP> 是 10.10.10.10,那么从 10.10.10.0 到 10.10.10.255 的所有 IP 请求都被阻止。

在应用配置之前,首先检查网络策略。你应该看到以下内容:

kubectl get networkpolicy --namespace=network-policy-tutorial

NAME                    POD-SELECTOR   AGE
backend-default         run=backend    6m16s
database-default        run=database   5m48s
frontend-default        run=frontend   6m50s
namespace-default-deny  <none>         8m22s

现在,在你的集群中应用 backend-default-policy.yaml 的更新配置:

kubectl apply -f backend-default-policy.yaml --namespace=network-policy-tutorial

请注意,没有添加新的网络策略。这是因为你没有更改 metadata.name 标签,Kubernetes 更新了网络策略的配置,而不是创建新的网络策略。

现在,如果你尝试从 frontend 访问 database ,就不再可能了:

kubectl exec -it backend --namespace=network-policy-tutorial -- curl <DATABASE-CLUSTER-IP>

你可以使用 kubectl delete 命令删除网络策略。例如,你可以这样删除 backend-default-policy

kubectl delete -f backend-default-policy.yaml --namespace=network-policy-tutorial

配置使 backend 能够从 frontend 接收流量的网络策略已被删除; frontend 应用程序无法再访问 backend 。

三、Kubernetes 网络策略使用的最佳实践

当然,在创建 Kubernetes 网络策略时,有一些最佳实践需要记住。让我们看看其中几个最重要的实践。

1.确保适当的隔离

由于 Kubernetes 网络策略允许你控制 pod 之间的网络流量,因此定义它们以确保适当的隔离至关重要。

确保适当隔离的第一步是确定哪些 pod 应该允许彼此通信,哪些应该相互隔离。然后定义规则来强制执行这些策略。

你还应该:

  • • 使用命名空间将工作负载彼此隔离。

  • • 为每个命名空间定义网络策略,根据最小权限原则限制流量。

  • • 将 pod 和服务之间的网络流量限制为仅满足其操作所需的内容。

  • • 使用标签和选择器将网络策略应用于特定的 pod 和 / 或服务。

2.监控和记录网络策略活动

监控和记录网络策略活动是检测和调查安全事件、排除网络问题并识别优化机会的关键,监控可以确保网络策略被正确执行,没有漏洞或配置不当。

使用 Kubernetes 工具如 kubectl logs 和 kubectl describe,你可以查看网络策略的日志和状态信息。你也可以使用第三方监控和日志解决方案来获得更多的网络流量和策略执行的可见性。

3.在大型集群中扩展网络策略

当你的集群开始增长,特别是当你在集群中拥有多个应用程序时,集群中的 Pod 数量和网络策略数量将显着增加。设计你的网络策略,使它们可以随着集群的增长、工作负载和节点数量的增加而扩展。

你可以通过使用选择性 Pod 标签和 Pod 匹配规则、避免过度限制策略以及使用高效的网络策略实现来实现可扩展性。不要忘记定期审查和优化你的网络策略,以确保它们仍然是必要和有效的。

4.评估第三方网络策略解决方案

虽然 Kubernetes 包含了对网络策略的内置支持,但你也可以使用提供额外功能的第三方解决方案。

对它们进行评估时,应考虑以下因素:

  • • 部署的易用性

  • • 与你现有的网络基础设施的兼容性

  • • 性能和可扩展性

  • • 易用性和维护性

当然,确保你使用的任何第三方解决方案都遵守 Kubernetes API 标准,并且与你的 Kubernetes 集群版本兼容。

四、结论

显然,Kubernetes 网络策略是一种强大的工具,用于在集群中的工作负载之间安全地控制网络流量。它们允许你在细粒度级别上定义和执行网络安全策略,确保适当的隔离并降低未经授权的访问或数据泄露的风险。

现在你已经学会了 Kubernetes 网络策略的基础知识,可以使用 kubectl 命令创建和执行策略,阻止对特定 IP 范围的出站流量以及限制不同名称空间中的 Pod 之间的流量。你还学会了一些实施网络策略的最佳实践,例如监视和记录策略活动以及评估第三方网络策略解决方案。

五、其他资源

如果你想了解更多关于 Kubernetes 网络和网络策略的信息,Kubernetes 的官方文档当然是一个不错的起点。其他有用的资源包括 Kubernetes 社区论坛、博客和在线课程:

  • • Kubernetes 网络策略 [5]

  • • Kubernetes 网络概念 [6]

  • • NetworkPolicy API 参考 [7]

请记住,尽管 Kubernetes 网络策略是一种强大的工具,但它们需要仔细规划才能发挥作用。遵循最佳实践并利用正确的资源,你可以确保你的网络策略为 Kubernetes 集群提供强大的安全性和控制。

充电君会在第一时间给你带来最新、最全面的解读,别忘了三联一波哦。  

                                                   

  

关注公众号:资源充电吧
回复:Chat GPT
充电君发你:免费畅享使用中文版哦
点击小卡片关注下,回复:IT

想要的资料全都有 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/796907.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Lua脚本解决多条命令原子性问题

Redis是一个流行的键值存储数据库&#xff0c;它提供了丰富的功能和命令。在Redis中&#xff0c;我们可以使用Lua脚本来编写多条命令&#xff0c;以确保这些命令的原子性执行。Lua是一种简单易学的编程语言&#xff0c;下面将介绍如何使用Redis提供的调用函数来操作Redis并保证…

redis中使用bloomfilter判断元素是否存在

一 bloomfiler的作用 1.1 bloomfilter的作用 由一个初始值为0的bit数组组成&#xff0c;和多个hash函数构成&#xff0c;用来判断集合中是否存在某个元素。 一个很长的二进制数组&#xff08;00000000&#xff09;一系列随机hash算法映射函数。主要用于判断一个元素是否存在…

【产品应用】一体化伺服电机在激光雷达设备中的应用

激光雷达作为一种重要的感知技术&#xff0c;被广泛应用于气象探测、追踪、机器人导航、风力资源等领域。而在激光雷达设备中&#xff0c;一体化伺服电机的应用正发挥着重要的作用。本文将介绍一体化伺服电机在激光雷达设备应用中的优势&#xff0c;展示其对激光雷达技术发展的…

四.在 Linux 上以 All-in-One 模式安装 KubeSphere

1.初始操作 # 关闭防火墙 systemctl stop firewalld systemctl disable firewalld# 关闭selinux sed -i s/enforcing/disabled/ /etc/selinux/config # 永久 setenforce 0 # 临时# 关闭swap swapoff -a # 临时 sed -ri s/.*swap.*/#&/ /etc/fstab # 永久# 将桥接的I…

2023河南萌新联赛第(三)场:郑州大学 F

把题中所给的式子进行展开&#xff0c;最终可以得到一个等比数列。运用等比数列求和公式即可。 相关知识点&#xff1a;欧拉降幂&#xff0c;逆元。 逆元的用处&#xff1a;因为求和公式需要去除分子&#xff0c;而大数除法去取模会丢失精度&#xff0c;所以可以采用求出分子…

深度学习入门教程(1):用神经网络预测糖尿病病例Predict Diabetes Cases with Neural Networks

本深度学习入门教程是在polyu HPCStudio 启发以及资源支持下进行的&#xff0c;在此也感谢polyu以及提供支持的老师。 大纲&#xff08;what will you learn from this project&#xff09; 1&#xff1a;What are neural networks&#xff1f; 2&#xff1a;Why use neural …

Ubuntu /dev/loop<0..n>挂载的目录的分析

执行命令df -h lkmaoubuntu:~$ df -h Filesystem Size Used Avail Use% Mounted on udev 1.6G 0 1.6G 0% /dev tmpfs 391M 2.1M 389M 1% /run /dev/sda1 59G 30G 26G 54% / tmpfs 2.0G 0 2.0G 0% /dev/s…

华硕PN62:BIOS来电重启 和win10关闭升级Windows11提示方法

1&#xff0c;开机长按del键进bios设置界面&#xff0c;点高级—电源管理或APM Restore AC Power Loss有两个都选power on。如果不成功&#xff0c;检查主板上纽扣电池是否有电。 restore on ac power loss意思是“交流失电恢复”&#xff0c;这是BIOS里的电源管理选项&#xf…

【Python机器学习】实验04(1) 多分类(基于逻辑回归)实践

文章目录 多分类以及机器学习实践如何对多个类别进行分类1.1 数据的预处理1.2 训练数据的准备1.3 定义假设函数&#xff0c;代价函数&#xff0c;梯度下降算法&#xff08;从实验3复制过来&#xff09;1.4 调用梯度下降算法来学习三个分类模型的参数1.5 利用模型进行预测1.6 评…

volatile关键字(轻量级锁)

目录 一、volatile出现背景 二、JMM概述 2.1、JMM的规定 三、volatile的特性 3.1、可见性 3.1.1、举例说明 3.1.2、总结 3.2、无法保证原子性 3.2.1、举例说明 3.2.2、分析 3.2.3、使用volatile对原子性测试 3.2.4、使用锁机制 3.2.5、总结 3.3、禁止指令重排序 四、v…

【KO】vite使用 git bash here创建vue3项目时方向键失败!

文章目录 起因过程结果 起因 今天使用vite创建ue3项目&#xff0c;因为git使用习惯了就直接用git运行创建命令&#xff0c;前两步都没啥问题&#xff0c;到选择框架的时候问题来了&#xff0c;方向键无效。如图&#xff1a; 过程 常理来说是直接用方向键↑和↓进行选择&…

day15-239. 滑动窗口最大值

239. 滑动窗口最大值 力扣题目链接(opens new window) 给定一个数组 nums&#xff0c;有一个大小为 k 的滑动窗口从数组的最左侧移动到数组的最右侧。你只可以看到在滑动窗口内的 k 个数字。滑动窗口每次只向右移动一位。 返回滑动窗口中的最大值。 进阶&#xff1a; 你能…

docker部署zabbix 6.0高可用集群实验

0 实验环境 虚拟机&#xff0c;postgresql本地部署&#xff0c;zabbix server及nginx容器部署 1 postgresql 参看前作 《postgresql timescaledb离线安装笔记》完成部署&#xff0c;对外端口tcp 5432&#xff0c;账号zabbix&#xff0c;密码123 2 zabbix server 2.1 拉取…

在vue页面中,直接展示代码及样式高亮(vue 中使用 highlight)

参考链接&#xff1a;https://blog.csdn.net/u011364720/article/details/90417302 前言&#xff1a;效果如下 想要在前端页面中&#xff0c;直接展示代码的样式&#xff0c;就像一些开发文档的源码展示一样使用插件 highlight.js 1、安装 npm install highlight.js2、main.j…

css中flex后文本溢出的问题

原因&#xff1a; 为了给flex item提供一个合理的默认最小尺寸&#xff0c;flex将flex item的min-width 和 min-height属性设置为了auto flex item的默认设置为&#xff1a; min-width&#xff1a; auto 水平flex布局 min-height&#xff1a;auto 垂直flex布局 解决办法&…

vue - 实现列表点击选择及多选 / 全选功能,类似购物车商品列表单选和全选效果功能,vue实现单选和多选功能详细示例教程(详细示例源码,一键复制开箱即用)

效果图 在vue项目中,实现了列表单选 / 全选功能,像商品购物车一样的功能效果详细教程,一键复制运行。 示例源码 直接复制运行就行,把数据换成后端返回的就可以了。 <tem

Nacos环境搭建

Nacos环境搭建 官方文档/下载地址 https://nacos.io/zh-cn/docs/quick-start.html 目录结构 导入nacos-mysql 在MySQL创建数据库&#xff1a;nacos_config导入conf目录下的nacos-mysql.sql文件 新建用户 在nacos_config/user中新增数据即可&#xff0c;但是密码是要BCryp…

汇编语言(第4版)实验7 寻址方式在结构化数据访问中的应用

参考答案&#xff1a; ①经分析&#xff0c;完整程序代码如下。 assume cs:codesg data segmentdb 1975,1976,1977,1978,1979,1980,1981,1982,1983db 1984,1985,1986,1987,1988,1989,1990,1991,1992db 1993,1994,1995dd 16,22,382,1356,2390,8000,16000,24486,50065,97479,140…

【C++】开源:Muduo网络库配置与使用

&#x1f60f;★,:.☆(&#xffe3;▽&#xffe3;)/$:.★ &#x1f60f; 这篇文章主要介绍Muduo网络库配置与使用。 无专精则不能成&#xff0c;无涉猎则不能通。——梁启超 欢迎来到我的博客&#xff0c;一起学习&#xff0c;共同进步。 喜欢的朋友可以关注一下&#xff0c;下…

【力扣每日一题】2023.7.27 删除每行中的最大值

目录 题目&#xff1a; 示例&#xff1a; 分析&#xff1a; 代码运行结果&#xff1a; 题目&#xff1a; 示例&#xff1a; 分析&#xff1a; 给我们一个矩阵&#xff0c;每次都把每行中的最大元素拿出来删掉&#xff0c;再把每次删除的元素里最大的元素拿出来加到结果里&…