备案控制台
探索云世界
开发者社区 阿里云术语库 文章 正文

Kubernetes必备知识: Network Policy

2020-02-20 558
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: 网络策略(Network Policy )是 Kubernetes 的一种资源。Network Policy 通过 Label 选择 Pod,并指定其他 Pod 或外界如何与这些 Pod 通信。 Pod的网络流量包含流入(Ingress)和流出(Egress)两种方向。默认情况下,所有 Pod 是非隔离的,即任何来源的网络流量都能够访问 Pod,没有任何限制。当为 Pod 定义了 Network Policy,只有 Policy 允许的流量才能访问 Pod。

所属技术领域:

Kubernetes

|名词定义|

网络策略(Network Policy )是 Kubernetes 的一种资源。Network Policy 通过 Label 选择 Pod,并指定其他 Pod 或外界如何与这些 Pod 通信。
Pod的网络流量包含流入(Ingress)和流出(Egress)两种方向。默认情况下,所有 Pod 是非隔离的,即任何来源的网络流量都能够访问 Pod,没有任何限制。当为 Pod 定义了 Network Policy,只有 Policy 允许的流量才能访问 Pod。
Kubernetes的网络策略功能也是由第三方的网络插件实现的,因此,只有支持网络策略功能的网络插件才能进行配置网络策略,比如Calico、Canal、kube-router等等。

|技术特点|

  1. 控制面数据流
  2. 资源配置模板
  3. 指定pod标签访问
  4. 指定namespaces标签访问
  5. NetworkPolicy数据结构定义
    适用场景:

1.静态密码认证
2.x509证书认证
3.Bearer Token认证
4.集成外部认证系统

|案例展示|

一、 下面通过一个真实示例展示Network Policy普通用法
用Deployment创建nginx pod实例并用service暴露图片.png

确认创建结果图片.png

测试nginx服务连通性图片.png

通过创建Network Policy对象添加隔离性图片.png

只允许包含access: "true"标签的pod访问nginx服务。
创建Network Policy图片.png

测试隔离性
图片.png

为pod添加access: "true"标签测试连通性

图片.png

二、 下面是一个 NetworkPolicy 的示例:
图片.png

除非选择支持网络策略的网络解决方案,否则将上述示例发送到API服务器没有任何效果。
必填字段: 与所有其他的Kubernetes配置一样,NetworkPolicy 需要 apiVersion、 kind和 metadata 字段。 关于配置文件操作的一般信息,请参考 这里、 这里和 这里。
spec: NetworkPolicy spec 中包含了在一个命名空间中定义特定网络策略所需的所有信息
podSelector: 每个 NetworkPolicy 都包括一个 podSelector ,它对该策略所应用的一组Pod进行选择。因为 NetworkPolicy 目前只支持定义 ingress 规则,这里的 podSelector 本质上是为该策略定义 “目标pod” 。示例中的策略选择带有 “role=db” 标签的pod。空的 podSelector 选择命名空间下的所有pod。
policyTypes: Each NetworkPolicy includes a policyTypes list which may include either Ingress, Egress, or both. The policyTypes field indicates whether or not the given policy applies to ingress traffic to selected pod, egress traffic from selected pods, or both. If no policyTypes are specified on a NetworkPolicy then by default Ingress will always be set and Egress will be set if the NetworkPolicy has any egress rules.
ingress: 每个 NetworkPolicy 包含一个 ingress 规则的白名单列表。(其中的)规则允许同时匹配 from 和 ports 部分的流量。示例策略中包含一条简单的规则: 它匹配一个单一的端口,来自两个来源中的一个, 第一个通过 namespaceSelector 指定,第二个通过 podSelector 指定。
egress: 每个 NetworkPolicy 包含一个 egress 规则的白名单列表。每个规则都允许匹配 to 和 port 部分的流量。该示例策略包含一条规则,该规则将单个端口上的流量匹配到 10.0.0.0/24 中的任何目的地。
所以,示例网络策略:
隔离 “default” 命名空间下 “role=db” 的pod (如果它们不是已经被隔离的话)。
允许从 “default” 命名空间下带有 “role=frontend” 标签的pod到 “default” 命名空间下的pod的6379 TCP端口的连接。
标签为 “role=frontend” 的 “default” 名称空间中的任何Pod
名称空间中带有标签 “project=myproject” 的任何pod
IP 地址范围为 172.17.0.0–172.17.0.255 和 172.17.2.0–172.17.255.255(即,除了 172.17.1.0/24 之外的所有 172.17.0.0/16)
允许从带有 “project=myproject” 标签的命名空间下的任何 pod 到 “default” 命名空间下的 pod 的6379 TCP端口的连接。

资料来源:

  1. 名词定义:https://www.cnblogs.com/tylerzhou/p/10995797.html
  2. 技术特点:CSDN社区https://blog.csdn.net/ZVAyIVqt0UFji/article/details/79492794
  3. 案例展示:https://www.cnblogs.com/tylerzhou/p/10995797.html
文章标签:
容器服务Kubernetes版
Perl
容器
应用服务中间件
数据安全/隐私保护
网络协议
canal
Kubernetes
nginx
API
关键词:
容器服务Kubernetes版 network
容器服务Kubernetes版 network policy
容器服务Kubernetes版必备知识
相关实践学习
容器服务Serverless版ACK Serverless 快速入门:在线魔方应用部署和监控
通过本实验,您将了解到容器服务Serverless版ACK Serverless 的基本产品能力,即可以实现快速部署一个在线魔方应用,并借助阿里云容器服务成熟的产品生态,实现在线应用的企业级监控,提升应用稳定性。
云原生实践公开课
课程大纲 开篇:如何学习并实践云原生技术 基础篇: 5 步上手 Kubernetes 进阶篇:生产环境下的 K8s 实践 相关的阿里云产品:容器服务 ACK 容器服务 Kubernetes 版(简称 ACK)提供高性能可伸缩的容器应用管理能力,支持企业级容器化应用的全生命周期管理。整合阿里云虚拟化、存储、网络和安全能力,打造云端最佳容器化应用运行环境。 了解产品详情: https://www.aliyun.com/product/kubernetes
保持可爱mmm
目录
相关文章
保持可爱mmm
|
存储 Kubernetes 安全
Kubernetes必备知识: PersistentVolumeClaim
PersistentVolumeClaim(简称PVC)是用户存储的请求,PVC消耗PV的资源,可以请求特定的大小和访问模式,需要指定归属于某个Namespace,在同一个Namespace的Pod才可以指定对应的PVC。 当需要不同性质的PV来满足存储需求时,可以使用StorageClass来实现。 每个 PVC 中都包含一个 spec 规格字段和一个 status 声明状态字段。
保持可爱mmm
3454 0
Kubernetes必备知识: PersistentVolumeClaim
RiemannHypothesis
|
存储 Kubernetes Linux
From Docker to Kubernetes(二)- Docker Network
From Docker to Kubernetes(二)- Docker Network
RiemannHypothesis
128 0
From Docker to Kubernetes(二)- Docker Network
Se7en
|
Kubernetes 数据可视化 Perl
Kubernetes Network Policy
Kubernetes Network Policy
Se7en
208 0
Kubernetes Network Policy
保持可爱mmm
|
canal Kubernetes 负载均衡
Kubernetes必备知识: 主流网络方案
常见的容器网络方案可以从协议栈层级、穿越形态、隔离方式这三种形式进行划分。 协议栈层级: 第一种:协议栈二层。 第二种:协议栈三层(纯路由转发)。 第三种:协议栈二层加三层。
保持可爱mmm
1037 0
Kubernetes必备知识: 主流网络方案
保持可爱mmm
|
Kubernetes 算法 容灾
Kubernetes必备知识: 调度流程
scheduler 是k8s master的一部分,作为插件存在于k8s生态体系。
保持可爱mmm
865 0
Kubernetes必备知识: 调度流程
保持可爱mmm
|
存储 Kubernetes Linux
Kubernetes必备知识: 容器接口CRI
每种容器运行时各有所长,许多用户都希望Kubernetes支持更多的运行时。在Kubernetes 1.5发布版里,我们引入了CRI–一个能让kubelet无需编译就可以支持多种容器运行时的插件接口。CRI包含了一组protocol buffers,gRPC API,相关的库,以及在活跃开发下的额外规范和工具。CRI目前是Alpha版本。 支持可替换的容器运行时在Kubernetes中概念中并非首次。在1.3发布版里,我们介绍了rktnetes项目,它可以让rkt容器引擎作为Docker容器运行时的一个备选。然而,不管是Docker还是Rkt都需要通过内部、不太稳定的接口直接集成到kubele
保持可爱mmm
681 0
Kubernetes必备知识: 容器接口CRI
保持可爱mmm
|
Kubernetes 算法 API
Kubernetes必备知识: 配置调度器
Kubernetes调度程序是一项策略丰富,可感知拓扑,特定于工作负载的功能,会显着显著影响可用性,性能和容量。调度程序需要考虑单个和集体的资源需求,服务质量需求,硬件/软件/策略约束,亲和力和反亲和力规范,数据位置,工作负载间的干扰,期限等。特定于工作负载的需求将在必要时通过API公开。
保持可爱mmm
561 0
Kubernetes必备知识: 配置调度器
保持可爱mmm
|
数据采集 缓存 Kubernetes
Kubernetes必备知识: 扩展调度器
Kubernetes 自带了一个默认调度器kube-scheduler,其内置了很多节点预选和优选的调度算法,一般调度场景下可以满足要求。但是在一些特殊场景下,默认调度器不能满足我们复杂的调度需求。我们就需要对调度器进行扩展,以达到调度适合业务场景的目的。
保持可爱mmm
937 0
Kubernetes必备知识: 扩展调度器
保持可爱mmm
|
存储 Kubernetes 容器
Kubernetes必备知识: StorageClass
StorageClass提供了一种描述存储类(class)的方法,不同的class可能会映射到不同的服务质量等级和备份策略或其他策略等。 StorageClass 对象中包含 provisioner、parameters 和 reclaimPolicy 字段,当需要动态分配 PersistentVolume 时会使用到。当创建 StorageClass 对象时,设置名称和其他参数,一旦创建了对象就不能再对其更新。也可以为没有申请绑定到特定 class 的 PVC 指定一个默认的 StorageClass 。
保持可爱mmm
1877 0
Kubernetes必备知识: StorageClass
保持可爱mmm
|
存储 Kubernetes 网络协议
Kubernetes必备知识: StatefulSet
StatefulSet是为了解决有状态服务的问题(对应Deployments和ReplicaSets是为无状态服务而设计),其应用场景包括  稳定的持久化存储,即Pod重新调度后还是能访问到相同的持久化数据,基于PVC来实现  稳定的网络标志,即Pod重新调度后其PodName和HostName不变,基于Headless Service(即没有Cluster IP的Service)来实现  有序部署,有序扩展,即Pod是有顺序的
保持可爱mmm
664 0
Kubernetes必备知识: StatefulSet

阿里云术语库

热门文章

最新文章

  • 1
    搭建k8s集群kubeadm搭建Kubernetes二进制搭建Kubernetes集群
  • 2
    Ubuntu 22.04 利用kubeadm方式部署Kubernetes(v1.28.2版本)
  • 3
    kubeadm安装k8s
  • 4
    构建高效自动化运维体系:基于Docker和Kubernetes的最佳实践
  • 5
    K8S 极速入门
  • 6
    探索Kubernetes的大二层网络:原理、优势与挑战🚀
  • 7
    总结归纳Kubernetes | 一站式速查知识,助您轻松驾驭容器编排技术(水平扩展控制)
  • 8
    使用 kubeadm 部署 Kubernetes 集群(二)k8s环境安装
  • 9
    k8s 到底是什么,架构是怎么样的?
  • 10
    K8S核心插件-Flannel网络插件
  • 1
    Kubernetes 集群的监控与维护策略
    8
  • 2
    Kubernetes自动伸缩方案的终极指南
    14
  • 3
    Kubernetes 集群的持续性能优化实践
    16
  • 4
    kubeadm安装k8s
    64
  • 5
    构建高效云原生应用:基于Kubernetes的微服务治理实践
    16
  • 6
    Kubernetes CNI 网络模型及常见开源组件
    20
  • 7
    无缝集成:在IntelliJ IDEA中利用Kubernetes插件轻松管理容器化应用
    24
  • 8
    Kubernetes命名空间
    17
  • 9
    Kubernetes的ConfigMap和Secret
    32
  • 10
    Kubernetes控制器(一)
    33

    • 相关课程

    更多
  • 体验-Kubernetes 对象及资源规范
  • 阿里云K8S微服务部署案例
  • Kubernetes极速入门
  • Serverless 容器从入门到精通: - Serverless Kubernetes
  • Kubernetes云原生管理实践
  • Kubernetes入门

    • 相关电子书

    更多
  • ACK 云原生弹性方案—云原生时代的加速器
  • ACK集群类型选择最佳实践
  • 企业运维之云原生和Kubernetes 实战

    • 相关实验场景

    更多
  • 在ACK Serverless中部署Stable Diffusion应用
  • 基于 ACK Serverless 解锁你家萌宠的 AI 形象
  • 基于ACK Serverless实现容器应用弹性伸缩
  • 使用ACK Serverless容器化部署大语言模型FastChat
  • 通过EDAS实现K8s微服务应用的金丝雀发布
  • 通过ACK Serverless搭建企业级网站应用

    • 推荐镜像

    更多
  • kubernetes
  • ceph
  • pouch
    • 下一篇
    部署LAMP环境(Alibaba Cloud Linux 3)