AI 助理
备案控制台
开发者社区 阿里云术语库 文章 正文

Kubernetes必备知识: Network Policy

2020-02-20 598
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
本文涉及的产品
容器服务 Serverless 版 ACK Serverless,952元额度 多规格
容器服务 Serverless 版 ACK Serverless,317元额度 多规格
简介: 网络策略(Network Policy )是 Kubernetes 的一种资源。Network Policy 通过 Label 选择 Pod,并指定其他 Pod 或外界如何与这些 Pod 通信。 Pod的网络流量包含流入(Ingress)和流出(Egress)两种方向。默认情况下,所有 Pod 是非隔离的,即任何来源的网络流量都能够访问 Pod,没有任何限制。当为 Pod 定义了 Network Policy,只有 Policy 允许的流量才能访问 Pod。

所属技术领域:

Kubernetes

|名词定义|

网络策略(Network Policy )是 Kubernetes 的一种资源。Network Policy 通过 Label 选择 Pod,并指定其他 Pod 或外界如何与这些 Pod 通信。
Pod的网络流量包含流入(Ingress)和流出(Egress)两种方向。默认情况下,所有 Pod 是非隔离的,即任何来源的网络流量都能够访问 Pod,没有任何限制。当为 Pod 定义了 Network Policy,只有 Policy 允许的流量才能访问 Pod。
Kubernetes的网络策略功能也是由第三方的网络插件实现的,因此,只有支持网络策略功能的网络插件才能进行配置网络策略,比如Calico、Canal、kube-router等等。

|技术特点|

  1. 控制面数据流
  2. 资源配置模板
  3. 指定pod标签访问
  4. 指定namespaces标签访问
  5. NetworkPolicy数据结构定义
    适用场景:

1.静态密码认证
2.x509证书认证
3.Bearer Token认证
4.集成外部认证系统

|案例展示|

一、 下面通过一个真实示例展示Network Policy普通用法
用Deployment创建nginx pod实例并用service暴露图片.png

确认创建结果图片.png

测试nginx服务连通性图片.png

通过创建Network Policy对象添加隔离性图片.png

只允许包含access: "true"标签的pod访问nginx服务。
创建Network Policy图片.png

测试隔离性
图片.png

为pod添加access: "true"标签测试连通性

图片.png

二、 下面是一个 NetworkPolicy 的示例:
图片.png

除非选择支持网络策略的网络解决方案,否则将上述示例发送到API服务器没有任何效果。
必填字段: 与所有其他的Kubernetes配置一样,NetworkPolicy 需要 apiVersion、 kind和 metadata 字段。 关于配置文件操作的一般信息,请参考 这里、 这里和 这里。
spec: NetworkPolicy spec 中包含了在一个命名空间中定义特定网络策略所需的所有信息
podSelector: 每个 NetworkPolicy 都包括一个 podSelector ,它对该策略所应用的一组Pod进行选择。因为 NetworkPolicy 目前只支持定义 ingress 规则,这里的 podSelector 本质上是为该策略定义 “目标pod” 。示例中的策略选择带有 “role=db” 标签的pod。空的 podSelector 选择命名空间下的所有pod。
policyTypes: Each NetworkPolicy includes a policyTypes list which may include either Ingress, Egress, or both. The policyTypes field indicates whether or not the given policy applies to ingress traffic to selected pod, egress traffic from selected pods, or both. If no policyTypes are specified on a NetworkPolicy then by default Ingress will always be set and Egress will be set if the NetworkPolicy has any egress rules.
ingress: 每个 NetworkPolicy 包含一个 ingress 规则的白名单列表。(其中的)规则允许同时匹配 from 和 ports 部分的流量。示例策略中包含一条简单的规则: 它匹配一个单一的端口,来自两个来源中的一个, 第一个通过 namespaceSelector 指定,第二个通过 podSelector 指定。
egress: 每个 NetworkPolicy 包含一个 egress 规则的白名单列表。每个规则都允许匹配 to 和 port 部分的流量。该示例策略包含一条规则,该规则将单个端口上的流量匹配到 10.0.0.0/24 中的任何目的地。
所以,示例网络策略:
隔离 “default” 命名空间下 “role=db” 的pod (如果它们不是已经被隔离的话)。
允许从 “default” 命名空间下带有 “role=frontend” 标签的pod到 “default” 命名空间下的pod的6379 TCP端口的连接。
标签为 “role=frontend” 的 “default” 名称空间中的任何Pod
名称空间中带有标签 “project=myproject” 的任何pod
IP 地址范围为 172.17.0.0–172.17.0.255 和 172.17.2.0–172.17.255.255(即,除了 172.17.1.0/24 之外的所有 172.17.0.0/16)
允许从带有 “project=myproject” 标签的命名空间下的任何 pod 到 “default” 命名空间下的 pod 的6379 TCP端口的连接。

资料来源:

  1. 名词定义:https://www.cnblogs.com/tylerzhou/p/10995797.html
  2. 技术特点:CSDN社区https://blog.csdn.net/ZVAyIVqt0UFji/article/details/79492794
  3. 案例展示:https://www.cnblogs.com/tylerzhou/p/10995797.html
文章标签:
容器服务Kubernetes版
Perl
容器
应用服务中间件
数据安全/隐私保护
网络协议
canal
Kubernetes
nginx
API
关键词:
容器服务Kubernetes版policy
容器服务Kubernetes版network
容器服务Kubernetes版 network
容器服务Kubernetes版 network policy
容器服务Kubernetes版必备知识
相关实践学习
通过Ingress进行灰度发布
本场景您将运行一个简单的应用,部署一个新的应用用于新的发布,并通过Ingress能力实现灰度发布。
容器应用与集群管理
欢迎来到《容器应用与集群管理》课程,本课程是“云原生容器Clouder认证“系列中的第二阶段。课程将向您介绍与容器集群相关的概念和技术,这些概念和技术可以帮助您了解阿里云容器服务ACK/ACK Serverless的使用。同时,本课程也会向您介绍可以采取的工具、方法和可操作步骤,以帮助您了解如何基于容器服务ACK Serverless构建和管理企业级应用。 学习完本课程后,您将能够: 掌握容器集群、容器编排的基本概念 掌握Kubernetes的基础概念及核心思想 掌握阿里云容器服务ACK/ACK Serverless概念及使用方法 基于容器服务ACK Serverless搭建和管理企业级网站应用
保持可爱mmm
目录
相关文章
尹正杰
|
14天前
|
Kubernetes 安全 API
Kubernetes系统安全-授权策略(authorization policy)
文章主要介绍了Kubernetes系统中的授权策略,包括授权模块的概述、RBAC授权模块的详细说明以及如何创建和管理角色(Role)和集群角色(ClusterRole)。
尹正杰
30 0
Kubernetes系统安全-授权策略(authorization policy)
七镜
|
4月前
|
Kubernetes 开发工具 容器
【kubernetes】解决k8s1.28.4:NotReady message:Network plugin returns error: cni plugin not initia...
【kubernetes】解决k8s1.28.4:NotReady message:Network plugin returns error: cni plugin not initia...
七镜
803 0
RiemannHypothesis
|
存储 Kubernetes Linux
From Docker to Kubernetes(二)- Docker Network
From Docker to Kubernetes(二)- Docker Network
RiemannHypothesis
147 0
From Docker to Kubernetes(二)- Docker Network
Se7en258
|
Kubernetes 数据可视化 Perl
Kubernetes Network Policy
Kubernetes Network Policy
Se7en258
220 0
Kubernetes Network Policy
javaedge
|
Kubernetes 容器 Perl
k8s基础网络Cluster Network模型
k8s基础网络Cluster Network模型
javaedge
162 0
k8s基础网络Cluster Network模型
保持可爱mmm
|
canal Kubernetes 负载均衡
Kubernetes必备知识: 主流网络方案
常见的容器网络方案可以从协议栈层级、穿越形态、隔离方式这三种形式进行划分。 协议栈层级: 第一种:协议栈二层。 第二种:协议栈三层(纯路由转发)。 第三种:协议栈二层加三层。
保持可爱mmm
1072 0
Kubernetes必备知识: 主流网络方案
保持可爱mmm
|
Kubernetes 算法 容灾
Kubernetes必备知识: 调度流程
scheduler 是k8s master的一部分,作为插件存在于k8s生态体系。
保持可爱mmm
902 0
Kubernetes必备知识: 调度流程
保持可爱mmm
|
存储 Kubernetes Linux
Kubernetes必备知识: 容器接口CRI
每种容器运行时各有所长,许多用户都希望Kubernetes支持更多的运行时。在Kubernetes 1.5发布版里,我们引入了CRI–一个能让kubelet无需编译就可以支持多种容器运行时的插件接口。CRI包含了一组protocol buffers,gRPC API,相关的库,以及在活跃开发下的额外规范和工具。CRI目前是Alpha版本。 支持可替换的容器运行时在Kubernetes中概念中并非首次。在1.3发布版里,我们介绍了rktnetes项目,它可以让rkt容器引擎作为Docker容器运行时的一个备选。然而,不管是Docker还是Rkt都需要通过内部、不太稳定的接口直接集成到kubele
保持可爱mmm
721 0
Kubernetes必备知识: 容器接口CRI
保持可爱mmm
|
Kubernetes 算法 API
Kubernetes必备知识: 配置调度器
Kubernetes调度程序是一项策略丰富,可感知拓扑,特定于工作负载的功能,会显着显著影响可用性,性能和容量。调度程序需要考虑单个和集体的资源需求,服务质量需求,硬件/软件/策略约束,亲和力和反亲和力规范,数据位置,工作负载间的干扰,期限等。特定于工作负载的需求将在必要时通过API公开。
保持可爱mmm
592 0
Kubernetes必备知识: 配置调度器
保持可爱mmm
|
数据采集 缓存 Kubernetes
Kubernetes必备知识: 扩展调度器
Kubernetes 自带了一个默认调度器kube-scheduler,其内置了很多节点预选和优选的调度算法,一般调度场景下可以满足要求。但是在一些特殊场景下,默认调度器不能满足我们复杂的调度需求。我们就需要对调度器进行扩展,以达到调度适合业务场景的目的。
保持可爱mmm
969 0
Kubernetes必备知识: 扩展调度器

阿里云术语库

热门文章

最新文章

  • 1
    Kubernetes全方位日志采集与管理的最佳实践 资料下载
  • 2
    阿里巴巴NACOS(6)- 在k8s上部署Nacos
  • 3
    k8s安装Ingress-Nginx
  • 4
    Kubernetes的 pod 重启策略、Pod状态、生命周期
  • 5
    Kubernetes(K8s)架构专题企业实战系列教程
  • 6
    OpenKruise:Kubernetes 核心控制器 Plus
  • 7
    阿里大佬力荐K8s项目实战笔记!图文并茂带你深度解析Kubernetes
  • 8
    Sealer - 把 Kubernetes 看成操作系统集群维度的 Docker
  • 9
    kubernetes 安装cilium
  • 10
    kubernetes资源 极速快三网站出租组织、管理介绍
  • 1
    Kubernetes 集群的持续监控与优化策略
    99
  • 2
    构建高效自动化运维体系:Ansible与Kubernetes的协同实践
    114
  • 3
    在 Kubernetes 中重启 pod 的 3 种方法
    3250
  • 4
    网络工程师想学习Kubernetes(K8s)?好好梭哈本文就足够了!
    94
  • 5
    Kubernetes 集群的监控与维护策略
    50
  • 6
    破茧成蝶 - Serverless Kubernetes 的思考与征程(二)
    226
  • 7
    没有银弹,只有取舍 - Serverless Kubernetes 的思考与征程(一)
    137
  • 8
    Kubernetes集群的持续性能优化策略
    68
  • 9
    Kubernetes 集群的监控与日志管理策略
    137
  • 10
    K8S常见的持久化(存储)方案用法详解
    357

    • 相关课程

    更多
  • 阿里云 EMR on ACK 实战
  • 阿里云K8S微服务部署案例
  • Kubernetes极速入门
  • Serverless 容器从入门到精通: - Serverless Kubernetes
  • Kubernetes云原生管理实践
  • Kubernetes入门

    • 相关电子书

    更多
  • ACK 云原生弹性方案—云原生时代的加速器
  • ACK集群类型选择最佳实践
  • 企业运维之云原生和Kubernetes 实战

    • 相关实验场景

    更多
  • 在ACK Serverless中部署Stable Diffusion应用
  • 使用ACK Serverless容器化部署大语言模型FastChat
  • 通过EDAS实现K8s微服务应用的金丝雀发布
  • 基于ACK Serverless轻松部署企业级Stable Diffusion
  • 使用 Fleet 管理 Elastic Agent 监控应用
  • 通过Helm CLI部署wordpress到ACK集群

    • 推荐镜像

    更多
  • kubernetes
  • pouch
  • docker-ce
    • 下一篇
    基于LNMP搭建WordPress