摘要:本文將主要分析原生的網(wǎng)絡(luò)策略���。筆者認(rèn)為這個(gè)問題主要是因?yàn)槭褂谜卟涣私饩W(wǎng)絡(luò)策略的省缺行為����。可選字段��,字符串��,策略規(guī)則類型����,表示該網(wǎng)絡(luò)策略中包含哪些類型的策略,可選為或����。互相間為或的關(guān)系��,滿足其中一條則放行����。標(biāo)準(zhǔn),除了指定的放行外其他都禁止����。
k8s中的網(wǎng)絡(luò)策略主要分為原生 NetworkPolicy 和第三方網(wǎng)絡(luò)插件提供的網(wǎng)絡(luò)策略��。本文將主要分析原生Networkpolicy的網(wǎng)絡(luò)策略��。
什么是網(wǎng)絡(luò)策略
網(wǎng)絡(luò)策略(NetworkPolicy)是一種關(guān)于 Pod 間及 Pod 與其他網(wǎng)絡(luò)端點(diǎn)間所允許的通信規(guī)則的規(guī)范����。NetworkPolicy 資源使用標(biāo)簽選擇 Pod��,并定義選定 Pod 所允許的通信規(guī)則���。
k8s中的網(wǎng)絡(luò)策略由實(shí)現(xiàn)了CNI接口的網(wǎng)絡(luò)插件提供����,網(wǎng)絡(luò)插件監(jiān)聽集群中 NetworkPolicy 資源的創(chuàng)建/刪除/更新事件生成對(duì)應(yīng)的規(guī)則來控制 Pod 的流量是否放行��。
常見的支持 NetworkPolicy 的網(wǎng)絡(luò)插件有:
Calico
Cilium
Kube-router
Romana
Weave Net
默認(rèn)情況下 Pod 間及 Pod 與其他網(wǎng)絡(luò)端點(diǎn)間的訪問是沒有限制的���。
如下是一個(gè) NetworkPolicy 定義的例子,該策略的含義是阻止所有流量訪問有app=web這個(gè) label 的 Pod����。
經(jīng)常有人會(huì)問網(wǎng)絡(luò)策略要怎么寫,或者是這個(gè)網(wǎng)絡(luò)策略代表了什么含義�。筆者認(rèn)為這個(gè)問題主要是因?yàn)槭褂谜卟涣私饩W(wǎng)絡(luò)策略的省缺行為。
NetworkPolicy 字段含義
NetworkPolicy 這個(gè)資源屬于命名空間級(jí)別的,因此metadata 中的 namespace 不可省略����,否則只會(huì)對(duì)default 命名空間下的滿足條件的 Pod 生效。
下面介紹下 NetworkPolicy 中各字段的含義����,并說明各字段省缺值及其含義,主要看 Spec 中的字段����,
podSelector: 必填字段,Pod 的標(biāo)簽選擇器����,表示該網(wǎng)絡(luò)策略作用于哪些 Pod。如果為空{}則表示選中本命名空間下所有 Pod�。
policyTypes: 可選字段,字符串�����,策略規(guī)則類型���, 表示該網(wǎng)絡(luò)策略中包含哪些類型的策略�����,可選為"Ingress", "Egress", 或 "Ingress,Egress"�。未填時(shí),這個(gè)值依據(jù)下面的 ingress 和 egress 來定��。如果該字段未設(shè)置且下面只出現(xiàn)了 ingress�����,則對(duì) egress 不做限制�。如果填了這個(gè)值,同時(shí)后續(xù)沒有設(shè)定對(duì)應(yīng)的規(guī)則�,則認(rèn)為設(shè)定的規(guī)則對(duì)應(yīng)的流量全部禁止。例如:
該規(guī)則就限制了所有 Pod 的出流量�。
ingress: 可選字段,數(shù)組��,入站規(guī)則��?��;ハ嚅g為或的關(guān)系,滿足其中一條則放行��。
ports: 可選字段,數(shù)組�,放行端口信息?�;ハ嚅g為或的關(guān)系���,如果為空表示端口不受約束��,如果非空��,則表示除了出現(xiàn)的端口放行�,其他未指定的端口都禁止��。
-port: 可選字段���,數(shù)字�,協(xié)議端口號(hào)����。如果不寫,表示協(xié)議所有端口�����。
-protocol: 可選字段,字符串�����,協(xié)議�。允許取值為 TCP,UDP���,SCTP��。省缺為 TCP��。
from: 可選字段�,數(shù)組�����,放行源地址信息�。互相間為或的關(guān)系�,如果為空表示不約束源地址��,如果非空����,則表示除了出現(xiàn)的源地址放行外����,其他源地址都禁止���。
-ipBlock: 可選字段�,放行 ip 段��。
cidr: 標(biāo)準(zhǔn) cidr�,除了指定的cidr放行外其他都禁止。
except: 標(biāo)準(zhǔn) cidr 字符串?dāng)?shù)組��,表示前面cidr 中的放行的 cidr 段需要再排除掉 except 中指定的�。
-namespaceSelector: 可選字段,namespace 的標(biāo)簽選擇器�����,表示放行集群中的哪些命名空間中過來的流量�。如果為空`{}`或未出現(xiàn)則表示選中所有命名空間。
-podSelector: 可選字段����,Pod 的標(biāo)簽選擇器��,表示放行哪些 Pod 過來的流量�����,默認(rèn)情況下從NetworkPolicy 同命名空間下的 Pod 中做篩選���,如果前面設(shè)定了`namespaceSelector`則從符合條件的命名空間中的 Pod 中做篩選。如果為空`{}`則表示選中滿足`namespaceSelector` 條件的所有 Pod���。
egress: 可選字段����,數(shù)組�����,出站規(guī)則�。互相間為或的關(guān)系���,滿足其中一條就放行����。
ports: 可選字段�,數(shù)組,放行端口信息����。互相間為或的關(guān)系����,如果為空表示端口不受約束,如果非空�,則表示除了出現(xiàn)的端口放行,其他未指定的端口都禁止����。(詳細(xì)字段同 ingress 中的 ports)
to: 可選字段,數(shù)組�����,放行目的地址信息���?;ハ嚅g為或的關(guān)系,如果為空表示不約束目的����,如果非空,則表示除了出現(xiàn)的目的地址放行外���,其他目的地址都禁止���。(詳細(xì)字段同ingress 中的 from)
介紹完 Spec 中各字段的含義及其默認(rèn)行為后,做個(gè)簡(jiǎn)單的小結(jié)�����,NetworkPolicy 定義了放行規(guī)則��,規(guī)則間是或的關(guān)系�����,只要命中其中一條規(guī)則就認(rèn)為流量可以放行�����。
下面以一個(gè)kubernetes官網(wǎng)中的例子來回顧下前面的知識(shí)����。
首先該規(guī)則指定了命名空間為 default��, 選擇了其中所有包含 role=db 這個(gè) label 的 Pod��,定義了入站流量規(guī)則與出站流量規(guī)則。
對(duì)于入站流量���,放行源地址來自 cidr 172.17.0.0/16 除了 172.17.1.0/24 之外的流量���,放行來自有project=myproject 這個(gè)label的namespace中的流量,放行 default 命名空間下有 label role=frontend 的 Pod 的流量�����,并限定這些流量只能訪問到 role=db 這個(gè) label 的 Pod 的 TCP 6379端口�����。
對(duì)于出站流量����,只放行其訪問目的地址屬于 cidr 10.0.0.0/24 中,且端口為 TCP 5978的流量����。
需要注意的是 NetworkPolicy 選中的 Pod 只能是與 NetworkPolicy 同處一個(gè) namespace 中的 Pod��,因此對(duì)于有些規(guī)則可能需要在多個(gè)命名空間中分別設(shè)置�����?���;蛘呤褂梅窃木W(wǎng)絡(luò)策略定義�,例如 Calico 中的 GlobalNetworkPolicy。
NetworkPolicy 變更歷史
v1.6 以及以前的版本需要在 kube-apiserver 中開啟 extensions/v1beta1/networkpolicies����;
v1.7 版本 Network Policy 已經(jīng) GA,API 版本為 networking.k8s.io/v1����;
v1.8 版本新增 Egress 和 IPBlock 的支持;
附錄
推薦觀看Securing Cluster Networking with Network Policies - Ahmet Balkan, Google
一些常見的策略樣例ahmetb/kubernetes-network-policy-recipes
文章版權(quán)歸作者所有���,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為�,您可以聯(lián)系管理員刪除��。
轉(zhuǎn)載請(qǐng)注明本文地址:http://m.hztianpu.com/yun/32979.html
