networkpolicy应用场景

默认情况下，Kubernetes集群网络没任何网络限制，Pod可以与任何其他pod通信，在某些场景下就需要进行网络控制，减少网络攻击面，提高安全性，这就会用到网络策略。

网络策略（network policy）：

是一个K8s资源，用于限制pod出入流量，提供pod级别和namespace级别网络访问控制。

应用场景：

1.应用程序间的访问控制，列如项目A不能访问项目B的pod

2.开发环境命名空间不能访问测试环境命名空间Pod

3.当pod暴露到外部时，需要做Pod白名单

4.多租户网络环境隔离

yaml示例

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: test-network-policy
  namespace: default  #策略应用在那个名称空间，就说对那个命名空间的pod做限制（目标）
spec:
  podSelector: #选择匹配哪些标签的pod，选择一组pod做网络策略，写{}表示分区下pod
    matchLabels:
      role: db
  policyTypes:
    - Ingress   #入网，谁访问pod（即谁访问default名称空间下有role=db标签的pod）
    - Egress    #出网，role=db的pod可以访问谁
  ingress:
    - from:
        - ipBlock:  #ip控制入站
            cidr: 172.17.0.0/16 #允许此网段访问
            except:
              - 172.17.1.0/24  #这个网段不能访问
        - namespaceSelector: #通过名称空间控制
            matchLabels:
              project: myproject
        - podSelector:  #允许来自本地名字空间中标有 role=client 的 Pod 的连接，或 来自任何名字空间中标有 user=alice 的任何 Pod 的连接。不加-则为该名称空间下的只允许来自标有 role=client 的 Pod 且该 Pod 所在的名字空间中标有 user=alice 的连接。
            matchLabels:
              role: frontend
      ports:  #以上三种可以访问那个端口
        - protocol: TCP
          port: 6379
  egress:
    - to:
        - ipBlock:
            cidr: 10.0.0.0/24
      ports:
        - protocol: TCP
          port: 5978

网络访问控制5个案例

案列1：拒绝命名空间下所有pod入、出站流量

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: deny-all
  namespace: test
spec:
  podSelector: {}  #匹配本命名空间所有pod
  policyTypes:
  - Ingress
  - Egress

#ingress和egress没有指定规则，则不允许任何流量进出pod

未设置networkpolicy时，可自由出入站访问（可先起pod测试，K8s默认互通），设置后则生效（无法访问）

apply之后

测试访问外部（拒绝访问）,

【】kubectl run busybox --image=busybox -n test -- sleep 12h

【】kubectl exec busybox -n test -- ping baidu.cm

测试外部pod访问（拒绝访问）

【】kubectl run web --image=nginx -n test

【】kubectl run busybox --image=busybox --sleep 12h

【】kubectl exec busybox -- ping nginxpod的ip

测试内部pod之间访问（拒绝访问）

【】kubectl exec busybox -n test -- ping nginxpod的ip

此策略基本不用，但可以设置为默认策略

案例2：拒绝其他命名空间pod访问

需求：test命名空间下所有pod可以互相访问，也可以访问其他命名空间pod，但其他命名空间pod不能访问test命名空间pod

记得删除1的策略再进行2

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: deny-ingress
  namespace: test
spec:
  podSelector: {}  #test下的所有pod
  policyTypes:
  - Ingress
  ingress:
  - from:
    - podSelector: {}  #匹配本命名空间所有pod 

案例3：允许其他命名空间pod访问指定应用

需求：允许其他命名空间test命名空间指定pod，pod标签app=web

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-all-nmespace
  namespace: test
spec:
  podSelector:
    matchLabels:
      app: web   #test名称空间下的有app=web的标签
  policyTypes:
    - Ingress
  ingress:
    - from:
        - namespaceSelector: {} #匹配所有命名空间的pod
#即所有名称空间的pod都可以访问test名称空间下的app=web的pod，和K8s默认一样，没意义。但和案列1搭配即可实现一个可访问，一个不可访问

#默认拒绝不加-from则拒绝所有入站，加上之后通过namespaceseletctor进行匹配名称空间{}表所有

单独此规则

与案例1一起用

案例4：同一个命名空间下应用之间限制访问

需求：将test命名空间中标签为run=web的pod隔离，只允许test名称空间下标签为run=client1的pod访问80端口

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: app-to-app
  namespace: test
spec:
  podSelector:
    matchLabels:
      run: web
  policyTypes:
    - Ingress
  ingress:

【】kubectl run client1 --image=busybox -n test-- sleep 12h

案例5：只允许指定命名空间中的应用访问

需求：只允许指定命名空间中的应用访问和其他所有命名空间指定标签pod访问

应用策略命名空间在dev，web的pod标签为env=dev

允许prod命名空间中的pod访问，及其他命名空间中的pod标签为app=client1的pod访问

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: dev-web
  namespace: dev
spec:
  podSelector:
    matchLabels:
      env: dev
  policyTypes:
    - Ingress
  ingress:
#满足允许prod命名空间中的pod访问
    - from:
        - namespaceSelector:
            matchLabels:
              env: prod
#允许pod标签为app=client1的pod访问，所有命名空间
    - from:
        - namespaceSelector: {}
          podSelector:
            matchLabels:
              app: client1

【】kubectl create ns dev

【】kubectl run web --image=busybox -n dev --labels="env=dev" -- sleep 12h

【】kubectl create ns prod

【】kubectl label ns prod env=prod

【】kubectl run web --image=busybox -n prod -- sleep 12h

#按要求进行测试即可