kubernetes中NetworkPolicy有什么用

小編給大家分享一下kubernetes中NetworkPolicy有什么用，希望大家閱讀完這篇文章之后都有所收獲，下面讓我們一起去探討吧！

一： 簡介
 1.Kubernetes的一個重要特性就是要把不同node節(jié)點的pod連接起來，無視物理節(jié)點的限制。但是在某些應(yīng)用環(huán)境中，比如公有云，不同租戶的pod不應(yīng)該互通，這個時候就需要網(wǎng)絡(luò)隔離。幸好，Kubernetes提供了NetworkPolicy，支持按Namespace級別的網(wǎng)絡(luò)隔離。Network Policy提供了基于策略的網(wǎng)絡(luò)控制，用于隔離應(yīng)用并減少攻擊面。它使用標簽選擇器模擬傳統(tǒng)的分段網(wǎng)絡(luò)，并通過策略控制它們之間的流量以及來自外部的流量。

 2.Kubernetes提供了NetworkPolicy，支持按Namespace和按Pod級別的網(wǎng)絡(luò)訪問控制。它利用label指定namespaces或pod，底層用iptables實現(xiàn)。不是所有的 Kubernetes 網(wǎng)絡(luò)方案都支持 Network Policy。比如 Flannel 就不支持，Calico 是支持的。

3.

 a.通過kubectl client創(chuàng)建network policy資源；
 b.calico的policy-controller監(jiān)聽network policy資源，獲取到后寫入calico的etcd數(shù)據(jù)庫；
 c.node上calico-felix從etcd數(shù)據(jù)庫中獲取policy資源，調(diào)用iptables做相應(yīng)配置。

二： NetworkPolicy 資源配置

1. apiVersion: networking.k8s.io/v1
   

2. kind: NetworkPolicy
   

3. metadata:
   

4.   name: test-network-policy
   

5.   namespace: default
   

6. spec:
   

7.   podSelector:
   

8.     matchLabels:
   

9.       role: db
   

10.   ingress:
    

11.   - from:
    

12.     - namespaceSelector:
    

13.         matchLabels:
    

14.           project: myproject
    

15.     - podSelector:
    

16.         matchLabels:
    

17.           role: frontend
    

18.     ports:
    

19.     - protocol: TCP
    

20.       port: 6379

1.podSelector：每個 NetworkPolicy 包含一個 podSelector，它可以選擇一組應(yīng)用了網(wǎng)絡(luò)策略的 Pod。由于 NetworkPolicy 當前只支持定義 ingress 規(guī)則，這個 podSelector 實際上為該策略定義了一組 “目標Pod”。示例中的策略選擇了標簽為 “role=db” 的 Pod。一個空的 podSelector 選擇了該 Namespace 中的所有 Pod。

2.ingress：每個NetworkPolicy 包含了一個白名單 ingress 規(guī)則列表。每個規(guī)則只允許能夠匹配上 from 和 ports配置段的流量。示例策略包含了單個規(guī)則，它從這兩個源中匹配在單個端口上的流量，第一個是通過namespaceSelector 指定的，第二個是通過 podSelector 指定的。

3. 在 “default” Namespace中 隔離了標簽 “role=db” 的 Pod（如果他們還沒有被隔離）； 在 “default” Namespace中，允許任何具有 “role=frontend” 的 Pod，連接到標簽為 “role=db” 的 Pod 的 TCP 端口 6379；允許在 Namespace 中任何具有標簽 “project=myproject” 的 Pod，連接到 “default” Namespace 中標簽為 “role=db” 的 Pod 的 TCP 端口 6379。

三：默認策略
1.通過創(chuàng)建一個可以選擇所有 Pod 但不允許任何流量的 NetworkPolicy，你可以為一個 Namespace 創(chuàng)建一個 “默認的” 隔離策略。

1. apiVersion: networking.k8s.io/v1
   

2. kind: NetworkPolicy
   

3. metadata:
   

4.   name: default-deny
   

5. spec:
   

6.   podSelector:

2.在 Namespace 中，如果你想允許所有的流量進入到所有的 Pod（即使已經(jīng)添加了某些策略，使一些 Pod 被處理為 “隔離的”），你可以通過創(chuàng)建一個策略來顯式地指定允許所有流量。

1. apiVersion: networking.k8s.io/v1
   

2. kind: NetworkPolicy
   

3. metadata:
   

4.   name: allow-all
   

5. spec:
   

6.   podSelector:
   

7.   ingress:
   

8.   - {}

看完了這篇文章，相信你對“kubernetes中NetworkPolicy有什么用”有了一定的了解，如果想了解更多相關(guān)知識，歡迎關(guān)注億速云行業(yè)資訊頻道，感謝各位的閱讀！