k8s 网络策略揭秘:CKA认证必备的网络知识全解析

网络策略(NetworkPolicy)是Kubernetes中的一种资源对象,用于定义和控制Pod之间的网络通信规则。它允许您在Kubernetes集群中定义详细的网络规则,以控制哪些Pod可以相互通信,以及允许或禁止的流量。网络策略提供了一种实现细粒度网络访问控制的方式,帮助管理员和开发者确保集群中的网络通信符合特定的安全性和策略需求。

Pod隔离的两种类型

Pod 有两种隔离:

  • 出口隔离
  • 入口隔离

它们涉及到可以建立哪些连接。这里的“隔离”不是绝对的,而是意味着“有一些限制”。另外的,“非隔离方向”意味着在所述方向上没有限制。这两种隔离(或不隔离)是独立声明的, 并且都与从一个 Pod 到另一个 Pod 的连接有关。

默认情况下,一个 Pod 的出口是非隔离的,即所有外向连接都是被允许的。如果有任何的 NetworkPolicy 选择该 Pod 并在其policyTypes 中包含 Egress,则该 Pod 是出口隔离的, 称这样的策略适用于该 Pod 的出口。当一个 Pod 的出口被隔离时, 唯一允许的来自 Pod 的连接是适用于出口的 Pod 的某个 NetworkPolicy 的 egress 列表所允许的连接。这些 egress 列表的效果是相加的。

默认情况下,一个 Pod 对入口是非隔离的,即所有入站连接都是被允许的。如果有任何的 NetworkPolicy 选择该 Pod 并在其 policyTypes 中包含 Ingress,则该 Pod 被隔离入口, 称这种策略适用于该 Pod 的入口。当一个 Pod 的入口被隔离时,唯一允许进入该 Pod 的连接是来自该 Pod 节点的连接和适用于入口的 Pod 的某个 NetworkPolicy 的 ingress 列表所允许的连接。这些 ingress 列表的效果是相加的。

网络策略是相加的,所以不会产生冲突。如果策略适用于 Pod 某一特定方向的流量,Pod 在对应方向所允许的连接是适用的网络策略所允许的集合。因此,评估的顺序不影响策略的结果。
要允许从源 Pod 到目的 Pod 的连接,源 Pod 的出口策略和目的 Pod 的入口策略都需要允许连接。如果任何一方不允许连接,建立连接将会失败。

NetworkPolicy 配置详解

以下是一个NetworkPolicy的示例,参阅 NetworkPolicy 来了解资源的完整定义。

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: test-network-policy
  namespace: default  #策略应用在那个名称空间,就说对那个命名空间的pod做限制(目标)
spec:
  podSelector:  #选择匹配哪些标签的pod,选择一组pod做网络策略,写{}表示该命名空间下pod
    matchLabels:
      role: db
  policyTypes:
  - Ingress #入网,谁访问pod(即谁访问default名称空间下有role=db标签的pod)
  - Egress  #出网,role=db的pod可以访问谁
  ingress:
  - from:
    - ipBlock:
        cidr: 172.17.0.0/16
        except:
        - 172.17.1.0/24
    - namespaceSelector:
        matchLabels:
          project: myproject
    - podSelector:
        matchLabels:
          role: frontend
    ports:
    - protocol: TCP
      port: 6379
  egress:
  - to:
    - ipBlock:
        cidr: 10.0.0.0/24
    ports:
    - protocol: TCP
      port: 5978

应用场景

是一个kuebenetes资源,用于限制pod出入流量,提供pod级别和namespace级别网络访问控制

  1. 应用程序间的访问控制,例如项目A不能访问项目B的pod
  2. 开发环境命名空间不能访问测试环境命名空间Pod
  3. 当pod暴露到外部时,需要做Pod白名单
  4. 多租户网络环境隔离

网络访问控制案例

案例1

  • 拒绝命名空间下所有pod入、出站流量
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: deny-all
  namespace: test
spec:
  podSelector: {}  #匹配本命名空间所有pod
  policyTypes:
  - Ingress
  - Egress

上述网络策略是禁止test命名空间的所有pod进出流量。

在没有创建网络策略时,test命名空间的Pod都能访问外网,如下:

测试

在deny-all网络策略后,test命名空间下的容器就不能访问外网

测试

外部Pod之间相互也不能访问了。这里在test命名空间启动一个nginx容器作为测试。

测试

案例2

  • 拒绝其他命名空间pod访问

在生成环境中或许有这样的需求,运行相同命名空间的pod相互访问,拒绝其他命名空间访问该命名空间的所有Pod。

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: deny-ingress
  namespace: test
spec:
  podSelector: {}  #test下的所有pod
  policyTypes:
  - Ingress
  ingress:
  - from:
    - podSelector: {}  #匹配本命名空间所有pod 

这里用两个命名空间进行模拟,一个是开发环境dev,一个是生成环境pro。现在有这样一个需求,生成环境的pro下的所有Pod不能访问dev开发环境的所有Pod

  1. 先创建两个命名空间

创建命名空间

  1. 分别在两个命名空间启动三个测试pod

运行Pod
3. 查看pod的状态

Pod的状态

在没有做网络策略时,pro命名空间下的pod可以与dev命名空间下的Pod相互通讯,如下:

测试Pod

创建网络策略,如下:

root@k8s-master:/home/yaml# cat deny-ingress.yaml
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: deny-ingress
  namespace: pro
spec:
  podSelector: {}  #test下的所有pod
  policyTypes:
  - Ingress
  ingress:
  - from:
    - podSelector: {}  #匹配本命名空间所有pod
root@k8s-master:/home/yaml# kubectl apply  -f deny-ingress.yaml
networkpolicy.networking.k8s.io/deny-ingress created

验证结果,如下,dev命名空间下的pod不能访问pro命名空间下的所有pod,dev命名空间的pod可以相互访问

验证结果

案例3

  • 允许其他命名空间pod访问指定应用
    现在有这样一个需求,允许其他命名空间访问pro命名空间指定pod,pod标签app=web
    先给pro-web pod 添加上标签,如下:
root@k8s-master:/home/yaml# kubectl label pods  pro-web app=web -n pro
pod/pro-web labeled
root@k8s-master:/home/yaml# kubectl get pod -n pro --show-labels
NAME          READY   STATUS    RESTARTS   AGE   LABELS
pro-busybox   1/1     Running   0          16m   run=pro-busybox
pro-db        1/1     Running   0          27m   run=pro-db
pro-web       1/1     Running   0          36m   app=web,run=pro-web

创建网络策略,网络策略内容如下,创建之前把之前测试的网络测试删除。

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-all-nmespace
  namespace: pro
spec:
  podSelector:
    matchLabels:
      app: web   #pro名称空间下的有app=web的标签
  policyTypes:
    - Ingress
  ingress:
    - from:
        - namespaceSelector: {} #匹配所有命名空间的pod
root@k8s-master:/home/yaml# kubectl delete -f  deny-ingress.yaml
networkpolicy.networking.k8s.io "deny-ingress" deleted
root@k8s-master:/home/yaml# kubectl apply -f allow-all-namespace.yml
networkpolicy.networking.k8s.io/allow-all-nmespace created

即所有名称空间的pod都可以访问pro名称空间下的app=web的pod,和K8s默认一样,没意义。但和案列1搭配即可实现一个可访问,一个不可访问。
单独此规则,和K8S默认一样的,如下:

结合案例1拒绝命名空间所以pod入,出站流量规则,如下:

root@k8s-master:/home/yaml# cat deny-all.yml
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: deny-all
  namespace: pro
spec:
  podSelector: {}  #匹配本命名空间所有pod
  policyTypes:
  - Ingress
  - Egress
root@k8s-master:/home/yaml# kubectl apply -f deny-all.yml
networkpolicy.networking.k8s.io/deny-all created
root@k8s-master:/home/yaml# kubectl exec dev-busybox -n dev ping 10.244.36.72
kubectl exec [POD] [COMMAND] is DEPRECATED and will be removed in a future version. Use kubectl exec [POD] -- [COMMAND] instead.
^C
root@k8s-master:/home/yaml# kubectl exec dev-busybox -n dev ping 10.244.36.69
kubectl exec [POD] [COMMAND] is DEPRECATED and will be removed in a future version. Use kubectl exec [POD] -- [COMMAND] instead.
PING 10.244.36.69 (10.244.36.69): 56 data bytes
64 bytes from 10.244.36.69: seq=0 ttl=63 time=0.372 ms
64 bytes from 10.244.36.69: seq=1 ttl=63 time=0.369 ms

CKA真题

题目1

真题

切换 k8s 集群环境:kubectl config use-context hk8s
Task
在现有的 namespace internal 中创建一个名为 allow-port-from-namespace 的新 NetworkPolicy。
确保新的 NetworkPolicy 允许 namespace 中的 Pods 连接到 namespace internal 中的Pods 的 9000 端口。
进一步确保新的NetworkPolicy:

  • 不允许对没有在监听端口 9000 的 Pods 的访问
  • 不允许不来自namespace internal的pods的访问
kubectl config use-context hk8s

# 编写一个 yaml 文件,注意先输入 ":set paste",防止复制时 yaml 文件空格错序
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-port-from-namespace
  namespace: internal
spec:
  podSelector: {}
  policyTypes:
    - Ingress
  ingress:
    - from:
        - podSelector: {}
      ports:
        - protocol: TCP
          port: 9000


# 创建网络策略资源
kubectl apply -f networkpolicy.yaml

题目2

[candidate@node-1] $ kubectl config use-context hk8s
Task
在现有的 namespace my-app 中创建一个名为 allow-port-from-namespace 的新 NetworkPolicy。
确保新的 NetworkPolicy 允许 namespace echo 中的 Pods 连接到 namespace my-app 中的 Pods 的 9000 端口。
进一步确保新的 NetworkPolicy:

  • 不允许对没有在监听 端口 9000 的 Pods 的访问
  • 不允许非来自 namespace echo 中的 Pods 的访问
kubectl config use-context hk8s

# 编写一个 yaml 文件,注意先输入 ":set paste",防止复制时 yaml 文件空格错序
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-port-from-namespace
  namespace: my-app
spec:
  podSelector: {}
  policyTypes:
    - Ingress
  ingress:
    - from:
        - namespaceSelector:
          matchLables:
             app: echo
      ports:
        - protocol: TCP
          port: 9000


# 创建网络策略资源
kubectl apply -f networkpolicy.yaml

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/375259.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

【MATLAB源码-第137期】基于matlab的NOMA系统和OFDMA系统对比仿真。

操作环境: MATLAB 2022a 1、算法描述 NOMA(非正交多址)和OFDMA(正交频分多址)是两种流行的无线通信技术,广泛应用于现代移动通信系统中,如4G、5G和未来的6G网络。它们的设计目标是提高频谱效…

泛型、Trait 和生命周期(上)

目录 1、提取函数来减少重复 2、在函数定义中使用泛型 3、结构体定义中的泛型 4、枚举定义中的泛型 5、方法定义中的泛型 6、泛型代码的性能 每一门编程语言都有高效处理重复概念的工具。在 Rust 中其工具之一就是 泛型(generics)。泛型是具体类型…

Verilog刷题笔记18

题目:An if statement usually creates a 2-to-1 multiplexer, selecting one input if the condition is true, and the other input if the condition is false. 解题: module top_module(input a,input b,input sel_b1,input sel_b2,output wire ou…

【excel密码】Excel加密的三种方式

Excel中保存着重要的数据,想要保护数据源,我们会想到给Excel文件进行加密,方法有很多,今天分享三种Excel加密方法给大家。 打开密码 设置了打开密码的excel文件,打开文件就会提示输入密码才能打开excel文件&#xff…

数据库中间件介绍

数据库中间件是连接数据库和应用程序之间的软件层,用于简化数据库管理、提高性能和可伸缩性,同时提供额外的功能和服务。在分布式系统和大规模应用中,数据库中间件发挥着重要的作用。 什么是数据库中间件? 数据库中间件是一种介…

Unity类银河恶魔城学习记录2-1.2.3.4.5 背景和摄像机相关设置 P42-p45

Alex教程每一P的教程原代码加上我自己的理解初步理解写的注释,可供学习Alex教程的人参考 此代码仅为较上一P有所改变的代码 【Unity教程】从0编程制作类银河恶魔城游戏_哔哩哔哩_bilibili ParallaxBackground.cs using System.Collections; using System.Collect…

maven依赖报错处理(或者maven怎么刷新都下载不了依赖)

maven依赖报错,或者不报错,但是怎么刷新maven都没反应,可以试一下以下操作 当下载jar的时候,如果断网,或者连接超时的时候,会自动在文件夹中创建一个名为*lastupdate的文件,当有了这个文件之后…

李沐《动手学深度学习》注意力机制

系列文章 李沐《动手学深度学习》预备知识 张量操作及数据处理 李沐《动手学深度学习》预备知识 线性代数及微积分 李沐《动手学深度学习》线性神经网络 线性回归 李沐《动手学深度学习》线性神经网络 softmax回归 李沐《动手学深度学习》多层感知机 模型概念和代码实现 李沐《…

Redis学习及总结

Redis 快速入门 Redis属于非关系型数据库 SQL应用场景 数据结构固定相关业务对数据安全性一致性要求高 NoSQL应用场景 数据结构不固定对一致性,安全性要求不高性能要求高 🎯需要使用Xftp 传输压缩包到虚拟机上 安装好Redis后, 执行命令…

VMware虚拟机清理瘦身

用了一段时间VMware虚拟机之后,发现内存越来越小,也没装什么软件。。。 1.查询磁盘空间分布 虚拟机中磁盘空间查询 先看一下哪些地方占用的空间大,进行排查。 2.排查VMware复制文件产生的缓存路径 VMware复制文件有一个特点,以…

护眼灯的色温标准是什么?护眼灯参数标准介绍

选择合适的护眼台灯不仅能提升家居的品质,还能为我们的生活增添一份温馨与舒适。不过有些色温调节不当不仅不能达到很好的学习效率,还容易打瞌睡,甚至伤眼睛的情况也有可能出现,那么什么色温有什么标准呢? 一、合适的…

推动海外云手机发展的几个因素

随着科技的不断发展,海外云手机作为一种新兴技术,在未来呈现出令人瞩目的发展趋势。本文将在用户需求、技术创新和全球市场前景等方面,探讨海外云手机在未来的发展。 1. 用户需求的引领: 随着人们对移动性和便捷性的需求不断增长&…

备战蓝桥杯---搜索(进阶2)

话不多说&#xff0c;直接看题&#xff1a; 相当于找一个点使它到3个国家的距离和min,显然&#xff0c;我们不可以枚举点&#xff0c;但是&#xff0c;我们可以对这3个国家分别bfs&#xff0c;然后枚举相加即可。 下面是AC代码&#xff1a; #include<bits/stdc.h> usin…

《【python】staticmethod与classmethod深度机制解析——要知其所以然》学习笔记

《【python】staticmethod与classmethod深度机制解析——要知其所以然》 1 Python中classmethod的实现机制 1.1 type_getattro(PyObject *type, PyObject *name)解析

Verilog刷题笔记19

题目&#xff1a; A common source of errors: How to avoid making latches When designing circuits, you must think first in terms of circuits: I want this logic gate I want a combinational blob of logic that has these inputs and produces these outputs I want…

KtConnect 本地连接连接K8S工具

KT Connect简介 Kt Connect &#xff08;Kubernetes Developer Tool&#xff09;是一个阿里开源、轻量级的面向 Kubernetes 用户的开发测试环境治理辅助工具。其核心是通过建立本地到集群以及集群到本地的双向通道。 1.阿里开源&#xff0c;轻量级, 2. 安装快捷简单&#xf…

年假作业day2

1.打印字母图形 #include<stdio.h> #include<string.h> int main(int argc, const char *argv[]) { int i,j; char k; for(i1;i<7;i) { for(j1;j<i;j) { printf("%c",_); } for(j0,…

Redis中的缓存穿透、雪崩、击穿的原因以及解决方案(详解)

一、概述 ① 缓存穿透&#xff1a;大量请求根本不存在的key&#xff08;下文详解&#xff09; ② 缓存雪崩&#xff1a;redis中大量key集体过期&#xff08;下文详解&#xff09; ③ 缓存击穿&#xff1a;redis中一个热点key过期&#xff08;大量用户访问该热点key&#xff0c;…

很多内容网站里出现的 RSS订阅 的起源,作用,使用方式与底层原理探究,以及如何让自己的网站支持RSS订阅探讨

前言 在逛很多内容社区的时候&#xff0c;经常发现rss订阅这一选项&#xff0c;平时没有怎么理会&#xff0c;因为这与我无关&#xff0c;但是遇见多了不免产生很多好奇&#xff0c;这次专门来探究一下它。 作用 RSS订阅&#xff08;Really Simple Syndication或Rich Site Su…

C++ 11/14/17 智能指针

1. 简介 为了更加容易&#xff08;更加安全&#xff09;的使用动态内存&#xff0c;引入了智能指针的概念。智能指针的行为类似常规指针&#xff0c;重要的区别是它负责自动释放所指向的对象。 标准库提供的两种智能指针的区别在于管理底层指针的方法不同&#xff1a;shared_p…