技术标签: kubernetes kubenetes 网络 Powered by 金山文档 docker
默认情况下,Kubernetes集群网络没任何网络限制,Pod可以与任何其他pod通信,在某些场景下就需要进行网络控制,减少网络攻击面,提高安全性,这就会用到网络策略。
网络策略(network policy):
是一个K8s资源,用于限制pod出入流量,提供pod级别和namespace级别网络访问控制。
应用场景:
1.应用程序间的访问控制,列如项目A不能访问项目B的pod
2.开发环境命名空间不能访问测试环境命名空间Pod
3.当pod暴露到外部时,需要做Pod白名单
4.多租户网络环境隔离
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: test-network-policy
namespace: default #策略应用在那个名称空间,就说对那个命名空间的pod做限制(目标)
spec:
podSelector: #选择匹配哪些标签的pod,选择一组pod做网络策略,写{}表示分区下pod
matchLabels:
role: db
policyTypes:
- Ingress #入网,谁访问pod(即谁访问default名称空间下有role=db标签的pod)
- Egress #出网,role=db的pod可以访问谁
ingress:
- from:
- ipBlock: #ip控制入站
cidr: 172.17.0.0/16 #允许此网段访问
except:
- 172.17.1.0/24 #这个网段不能访问
- namespaceSelector: #通过名称空间控制
matchLabels:
project: myproject
- podSelector: #允许来自本地名字空间中标有 role=client 的 Pod 的连接,或 来自任何名字空间中标有 user=alice 的任何 Pod 的连接。不加-则为该名称空间下的只允许来自标有 role=client 的 Pod 且该 Pod 所在的名字空间中标有 user=alice 的连接。
matchLabels:
role: frontend
ports: #以上三种可以访问那个端口
- protocol: TCP
port: 6379
egress:
- to:
- ipBlock:
cidr: 10.0.0.0/24
ports:
- protocol: TCP
port: 5978
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: deny-all
namespace: test
spec:
podSelector: {} #匹配本命名空间所有pod
policyTypes:
- Ingress
- Egress
#ingress和egress没有指定规则,则不允许任何流量进出pod
未设置networkpolicy时,可自由出入站访问(可先起pod测试,K8s默认互通),设置后则生效(无法访问)
apply之后
测试访问外部(拒绝访问),
【】kubectl run busybox --image=busybox -n test -- sleep 12h
【】kubectl exec busybox -n test -- ping baidu.cm
测试外部pod访问(拒绝访问)
【】kubectl run web --image=nginx -n test
【】kubectl run busybox --image=busybox --sleep 12h
【】kubectl exec busybox -- ping nginxpod的ip
测试内部pod之间访问(拒绝访问)
【】kubectl exec busybox -n test -- ping nginxpod的ip
此策略基本不用,但可以设置为默认策略
需求:test命名空间下所有pod可以互相访问,也可以访问其他命名空间pod,但其他命名空间pod不能访问test命名空间pod
记得删除1的策略再进行2
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: deny-ingress
namespace: test
spec:
podSelector: {} #test下的所有pod
policyTypes:
- Ingress
ingress:
- from:
- podSelector: {} #匹配本命名空间所有pod
需求:允许其他命名空间test命名空间指定pod,pod标签app=web
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: allow-all-nmespace
namespace: test
spec:
podSelector:
matchLabels:
app: web #test名称空间下的有app=web的标签
policyTypes:
- Ingress
ingress:
- from:
- namespaceSelector: {} #匹配所有命名空间的pod
#即所有名称空间的pod都可以访问test名称空间下的app=web的pod,和K8s默认一样,没意义。但和案列1搭配即可实现一个可访问,一个不可访问
#默认拒绝不加-from则拒绝所有入站,加上之后通过namespaceseletctor进行匹配名称空间{}表所有
单独此规则
与案例1一起用
需求:将test命名空间中标签为run=web的pod隔离,只允许test名称空间下标签为run=client1的pod访问80端口
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: app-to-app
namespace: test
spec:
podSelector:
matchLabels:
run: web
policyTypes:
- Ingress
ingress:
【】kubectl run client1 --image=busybox -n test-- sleep 12h
需求:只允许指定命名空间中的应用访问和其他所有命名空间指定标签pod访问
应用策略命名空间在dev,web的pod标签为env=dev
允许prod命名空间中的pod访问,及其他命名空间中的pod标签为app=client1的pod访问
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: dev-web
namespace: dev
spec:
podSelector:
matchLabels:
env: dev
policyTypes:
- Ingress
ingress:
#满足允许prod命名空间中的pod访问
- from:
- namespaceSelector:
matchLabels:
env: prod
#允许pod标签为app=client1的pod访问,所有命名空间
- from:
- namespaceSelector: {}
podSelector:
matchLabels:
app: client1
【】kubectl create ns dev
【】kubectl run web --image=busybox -n dev --labels="env=dev" -- sleep 12h
【】kubectl create ns prod
【】kubectl label ns prod env=prod
【】kubectl run web --image=busybox -n prod -- sleep 12h
#按要求进行测试即可
文章浏览阅读2.5w次,点赞6次,收藏50次。官方解释是,docker 容器是机器上的沙盒进程,它与主机上的所有其他进程隔离。所以容器只是操作系统中被隔离开来的一个进程,所谓的容器化,其实也只是对操作系统进行欺骗的一种语法糖。_docker菜鸟教程
文章浏览阅读5.7k次,点赞3次,收藏14次。该如何避免的,今天小编给大家推荐两个下载Windows系统官方软件的资源网站,可以杜绝软件捆绑等行为。该站提供了丰富的Windows官方技术资源,比较重要的有MSDN技术资源文档库、官方工具和资源、应用程序、开发人员工具(Visual Studio 、SQLServer等等)、系统镜像、设计人员工具等。总的来说,这两个都是非常优秀的Windows系统镜像资源站,提供了丰富的Windows系统镜像资源,并且保证了资源的纯净和安全性,有需要的朋友可以去了解一下。这个非常实用的资源网站的创建者是国内的一个网友。_msdn我告诉你
文章浏览阅读1.2k次。vue2封装对话框el-dialog组件_
文章浏览阅读4.7k次,点赞5次,收藏6次。MFC 文本框换行 标签: it mfc 文本框1.将Multiline属性设置为True2.换行是使用"\r\n" (宽字符串为L"\r\n")3.如果需要编辑并且按Enter键换行,还要将 Want Return 设置为 True4.如果需要垂直滚动条的话将Vertical Scroll属性设置为True,需要水平滚动条的话将Horizontal Scroll属性设_c++ mfc同一框内输入二行怎么换行
文章浏览阅读832次。检查Linux是否是否开启所需端口,默认为6379,若未打开,将其开启:以root用户执行iptables -I INPUT -p tcp --dport 6379 -j ACCEPT如果还是未能解决,修改redis.conf,修改主机地址:bind 192.168.85.**;然后使用该配置文件,重新启动Redis服务./redis-server redis.conf..._redis-server doesn't support auth command or ismisconfigured. try
文章浏览阅读4.9k次。济大数电实验报告_数据选择器及其应用
文章浏览阅读236次。1研究内容消费在生产中占据十分重要的地位,是生产的最终目的和动力,是保持省内经济稳定快速发展的核心要素。预测河南省社会消费品零售总额,是进行宏观经济调控和消费体制改变创新的基础,是河南省内人民对美好的全面和谐社会的追求的要求,保持河南省经济稳定和可持续发展具有重要意义。本文建立灰色预测模型,利用MATLAB软件,预测出2019年~2023年河南省社会消费品零售总额预测值分别为21881...._灰色预测模型用什么软件
文章浏览阅读1.2k次。12.4-在Qt中使用Log4Qt输出Log文件,看这一篇就足够了一、为啥要使用第三方Log库,而不用平台自带的Log库二、Log4j系列库的功能介绍与基本概念三、Log4Qt库的基本介绍四、将Log4qt组装成为一个单独模块五、使用配置文件的方式配置Log4Qt六、使用代码的方式配置Log4Qt七、在Qt工程中引入Log4Qt库模块的方法八、获取示例中的源代码一、为啥要使用第三方Log库,而不用平台自带的Log库首先要说明的是,在平时开发和调试中开发平台自带的“打印输出”已经足够了。但_log4qt
文章浏览阅读786次。全局观思维模型,一个教我们由点到线,由线到面,再由面到体,不断的放大格局去思考问题的思维模型。_计算机中对于全局观的
文章浏览阅读330次。一、CountDownLatch介绍CountDownLatch采用减法计算;是一个同步辅助工具类和CyclicBarrier类功能类似,允许一个或多个线程等待,直到在其他线程中执行的一组操作完成。二、CountDownLatch俩种应用场景: 场景一:所有线程在等待开始信号(startSignal.await()),主流程发出开始信号通知,既执行startSignal.countDown()方法后;所有线程才开始执行;每个线程执行完发出做完信号,既执行do..._countdownluach于cyclicbarrier的用法
文章浏览阅读508次。Prometheus 算是一个全能型选手,原生支持容器监控,当然监控传统应用也不是吃干饭的,所以就是容器和非容器他都支持,所有的监控系统都具备这个流程,_-自动化监控系统prometheus&grafana实战
文章浏览阅读4.7k次。输入关键字,可以通过键盘的搜索按钮完成搜索功能。_react search