开发者社区> 店家小二> 正文

借助 Calico,管窥 Kubernetes 网络策略

简介: Kubernetes 提出了一系列 CXI 的标准容器接口,其中的 CNI 以插件方式支持多种网络。新增的 networkpolicy API 对象,提供了对网络策略的支持,本文以 Calico 为例,实际操作一个网络策略的创建和测试。
+关注继续查看

Kubernetes 提出了一系列 CXI 的标准容器接口,其中的 CNI 以插件方式支持多种网络。 新 增的 networkpolicy API 对象,提供了对网络策略的支持,本文以 Calico 为例,实际操作一个网络策略的创建和测试。

环境准备

  • 一个 Kubernetes 集群
  • Kubelet 和 API Server 都开启了 --allow_privileged=true
  • Kubelet 指定使用 CNI :--network-plugin=cni
  • 为了避免某些不可描述的网络设施的影响,建议下载几个镜像
    • quay.io/calico/node:v1.0.2
    • calico/cni:v1.5.6
    • calico/kube-policy-controller:v0.5.2
    • calico/ctl:v1.0.2

运行 Calico

  • 下载 http://docs.projectcalico.org/v2.0/getting-started/kubernetes/installation/hosted/calico.yaml
  • 如果用私库镜像,需要修改其中的几个镜像地址
  • 修改 data/etcd_endpoints 的数据为可访问的 etcd 的地址。
kubectl create -f calico.yaml

这里在 kube-system 中创建了一个 DaemonSet 和一个 Deployment,分别用于提供 CNI 支持和网络策略支持。

$ kubectl get deployment,daemonset,svc --all-namespaces [9:55:14]
NAMESPACE NAME DESIRED CURRENT UP-TO-DATE AVAILABLE AGE
kube-system deploy/calico-policy-controller 1 1 1 1 10h

NAMESPACE NAME DESIRED CURRENT READY NODE-SELECTOR AGE
kube-system ds/calico-node 2 2 2 <none> 10h

NAMESPACE NAME CLUSTER-IP EXTERNAL-IP PORT(S) AGE
default svc/kubernetes 172.200.0.1 <none> 443/TCP 19h default svc/nginx 172.200.183.204 <none> 80/TCP 9h

网络策略

为测试效果,我们首先创建一个 Namespace

kubectl create ns policy

然后是 Nginx 部署和服务:

---
kind: ReplicationController
apiVersion: v1
metadata:
 name: nginx
 labels:
 name: nginx
spec:
 replicas: 1
 selector:
 name: nginx
 template:
 metadata:
 labels:
 name: nginx
 app: nginx
 spec:
 containers: - name: nginx
 image: nginx
 ports: - containerPort: 80
 protocol: TCP

---
kind: Service
apiVersion: v1
metadata:
 name: nginx
 labels:
 name: nginx
spec:
 ports: - protocol: TCP
 port: 80
 targetPort: 80
 selector:
 name: nginx

然后我们用 alpine 镜像测试一下对这一服务进行访问:

kubectl run alpine --rm -it --image=alpine sh

运行成功后,在 Alpine 的 Shell 中输入:

wget -O - -T 5 http://nginx 

会出现 Nginx 的缺省页面的代码。

接下来我们给 Default Namespace 加一个缺省拒绝访问的注解:

$ kubectl annotate ns default "net.beta.kubernetes.io/network-policy={\"ingress\": {\"isolation\": \"DefaultDeny\"}}"

重复测试过程,会发现超时错误。

我们来创建一条策略:

kind: NetworkPolicy
apiVersion: extensions/v1beta1
metadata:
 name: access-nginx
spec:
 podSelector:
 matchLabels:
 run: nginx
 ingress: - from: - podSelector:
 matchLabels:
 access: "true"

很容易理解,对于符合 “run=nginx” 的 Pod,只有 “access=true” 的 Pod 能够访问

给 Alpine 带上标签重新运行:

kubectl run alp --image=alpine --labels="access=true" --rm -ti sh

重新 wget,会发现访问能力已经恢复。

本文主要线索来自官方示例:https://kubernetes.io/docs/getting-started-guides/network-policy/walkthrough/

安装方法来自 Calico 官网。

这只是一个很入门的介绍,后续会有更多进一步的尝试。

本文转自中文社区-借助 Calico,管窥 Kubernetes 网络策略

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
用惯了其他人的库,自己来实现一个动图图表生成工具,真香!
用惯了其他人的库,自己来实现一个动图图表生成工具,真香!
5 0
docker 简介和安装
Docker 的应用场景 • Web 应用的自动化打包和发布。 • 自动化测试和持续集成、发布。 • 在服务型环境中部署和调整数据库或其他的后台应用。 • 从头编译或者扩展现有的 OpenShift 或 Cloud Foundry 平台来搭建自己的 PaaS 环
4 0
ArrayList这样回答还拿不到offer?
这是我实习的第二个月。今天讲述的是ArrayList。大家肯定对这个很熟悉,比如日常开发过程中,不管是前后端分离开发还是不分离开发,都会利用接口调用SQL语句查询数据。查询到的结果是存入ArrayList里的。问题来了!
1 0
阿里云云原生容器工程师ACP认证
阿里云云原生容器工程师ACP认证
1 0
有意思,圣诞节自己做一个装饰圣诞帽头像的APP!
有意思,圣诞节自己做一个装饰圣诞帽头像的APP!
4 0
HTTPS这样回答还拿不到offer?
每次访问一个网站的时候大家对http与htps都不陌生吧?随着网络技术的发展,这些词充斥着我们的耳朵。
3 0
Go 语言 第一课
Go 是一个开源的编程语言,它能让构造简单、可靠且高效的软件变得容易。 Go是从2007年末由Robert Griesemer, Rob Pike, Ken Thompson主持开发,后来还加入了Ian Lance Taylor, Russ Cox等人,并最终于2009年11月开源,在2012年早些时候发布了Go 1稳定版本。现在Go的开发已经是完全开放的,并且拥有一个活跃的社区。
3 0
Fastjson 使用
fastjson 是阿里巴巴的开源 JSON 解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean序列化为JSON字符串,也可以从 JSON 字符串反序列化到 JavaBean。 功能完备: 支持泛型,支持流处理超大文本,支持枚举,支持序列化和反序列化扩展。 下载 jar包 或者配置 maven 依赖:
2 0
五分钟学 | Flask 使用 JQuery 上传数据并展示在页面上
今天分享一个动态上传数据的知识点,我们知道,传统的通过 form 来上传文件,会导致 web 页面重新刷新,这样有些功能就无法实现了,比如说我当前页面存在某些表单,如果页面刷新,那么已经填写的表单就会丢失甚至重复提交等等问题。而 JQuery 可以很好的帮我们动态更新页面,实现不刷新页面就可以上传文件的功能,一起来看吧!
1 0
+关注
651
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
OceanBase 入门到实战教程
立即下载
阿里云图数据库GDB,加速开启“图智”未来.ppt
立即下载
实时数仓Hologres技术实战一本通2.0版(下)
立即下载