一 Kubernetes網絡策略
1.1 策略說明
為實現細粒度的容器間網絡訪問隔離策略,Kubernetes發布Network Policy,目前已升級為networking.k8s.io/v1穩定版本。
Network Policy的主要功能是對Pod間的網絡通信進行限制和准入控制,設置方式為將Pod的Label作為查詢條件,設置允許訪問或禁止訪問的客戶端Pod列表。目前查詢條件可以作用於Pod和Namespace級別。
為了使用Network Policy,Kubernetes引入了一個新的資源對象Network Policy,供用戶設置Pod間網絡訪問的策略。但僅定義一個網絡策略是無法完成實際的網絡隔離的,還需要一個策略控制器(Policy Controller)進行策略的實現。
策略控制器由第三方網絡組件提供,目前Calico、Cilium、Kube-router、Romana、WeaveNet等開源項目均支持網絡策略的實現。Network Policy的工作原理如下所示,policy controller需要實現一個API Listener,監聽用戶設置的Network Policy定義,並將網絡訪問規則通過各Node的Agent進行實際設置(Agent則需要通過CNI網絡插件實現)。
1.2 網絡策略配置
網絡策略的設置主要用於對目標Pod的網絡訪問進行限制,在默認情況下對所有Pod都是允許訪問的,在設置了指向Pod的Network Policy網絡策略之后,訪問Pod將會被限制。
示例1:
[root@k8smaster01 study]# vi networkpolicy_01.yaml
1 apiVersion: networking.k8s.io/v1 2 kind: NetworkPolicy 3 metadata: 4 name: test-network-policy 5 namespace: default 6 spec: 7 podSelector: 8 matchLabels: 9 role: db 10 policyTypes: 11 - Ingress 12 - Egress 13 ingress: 14 - from: 15 - ipBlock: 16 cidr: 172.17.0.0/16 17 except: 18 - 172.17.1.0/24 19 - namespacesSelector: 20 matchLabels: 21 project: mopoject 22 - podSelector: 23 matchLabels: 24 role: frontend 25 ports: 26 - protocol: TCP 27 port: 6379 28 egress: 29 - to: 30 - ipBlock: 31 cidr: 10.0.0.0/24 32 ports: 33 - protocol: TCP 34 port: 5978
參數解釋:
- podSelector:用於定義該網絡策略作用的Pod范圍,本例的選擇條件為包含“role=db”標簽的Pod。
- policyTypes:網絡策略的類型,包括ingress和egress兩種,用於設置目標Pod的入站和出站的網絡限制。
- ingress:定義允許訪問目標Pod的入站白名單規則,滿足from條件的客戶端才能訪問ports定義的目標Pod端口號。
- -from:對符合條件的客戶端Pod進行網絡放行,規則包括基於客戶端Pod的Label、基於客戶端Pod所在的Namespace的Label或者客戶端的IP范圍。
- -ports:允許訪問的目標Pod監聽的端口號。
- egress:定義目標Pod允許訪問的“出站”白名單規則,目標Pod僅允許訪問滿足to條件的服務端IP范圍和ports定義的端口號。
- -to:允許訪問的服務端信息,可以基於服務端Pod的Label、基於服務端Pod所在的Namespace的Label或者服務端IP范圍。
- -ports:允許訪問的服務端的端口號。
如上示例的最終效果如下:
- 該網絡策略作用於Namespace“default”中含有“role=db”Label的全部Pod。
- 允許與目標Pod在同一個Namespace中的包含“role=frontend”Label的客戶端Pod訪問目標Pod。
- 允許屬於包含“project=myproject”Label的Namespace的客戶端Pod訪問目標Pod。
- 允許從IP地址范圍“172.17.0.0/16”的客戶端Pod訪問目標Pod,但是不包括IP地址范圍“172.17.1.0/24”的客戶端。
- 允許目標Pod訪問IP地址范圍“10.0.0.0/24”並監聽5978端口的服務。
注意:關於namespaceSelector和podSelector的說明:在from或to的配置中,namespaceSelector和podSelector可以單獨設置,也可以組合配置。如果僅配置podSelector,則表示與目標Pod屬於相同的Namespace,而組合設置則可以設置Pod所屬的Namespace,例如:
1 - from: 2 - namespacesSelector: 3 matchLabels: 4 project: mopoject 5 - podSelector: 6 matchLabels: 7 role: frontend
如上表示允許訪問目標Pod的來源客戶端Pod應具有如下屬性:屬於有“project=myproject”標簽的Namespace,並且有“role=frontend”標簽。
1.3 Namespace級別策略
在Namespace級別還可以設置一些默認的全局網絡策略,以方便管理員對整個Namespace進行統一的網絡策略設置。
示例1:默認禁止任何客戶端訪問該Namespace中的所有Pod。
1 apiVersion: networking.k8s.io/v1 2 kind: NetworkPolicy 3 metadata: 4 name: default-deny 5 spec: 6 podSelector: {} 7 policyTypes: 8 - Ingress
示例2:默認允許任何客戶端訪問該Namespace中的所有Pod。
1 apiVersion: networking.k8s.io/v1 2 kind: NetworkPolicy 3 metadata: 4 name: allow-all 5 spec: 6 podSelector: {} 7 ingress: 8 - {} 9 policyTypes: 10 - Ingress
示例3:默認禁止該Namespace中的所有Pod訪問外部服務。
1 apiVersion: networking.k8s.io/v1 2 kind: NetworkPolicy 3 metadata: 4 name: default-deny 5 spec: 6 podSelector: {} 7 policyTypes: 8 - Egress
示例4:默認允許該Namespace中的所有Pod訪問外部服務。
1 apiVersion: networking.k8s.io/v1 2 kind: NetworkPolicy 3 metadata: 4 name: allow-all 5 spec: 6 podSelector:{} 7 egress: 8 - {} 9 policyTypes: 10 - Egress
示例5:默認禁止任何客戶端訪問該Namespace中的所有Pod,同時禁止訪問外部服務。
1 apiVersion: networking.k8s.io/v1 2 kind: NetworkPolicy 3 metadata: 4 name: default-deny 5 spec: 6 podSelector: {} 7 policyTypes: 8 - Ingress 9 - Egress