在 Kubernetes (K8s) 中,NetworkPolicy 是一种用于控制 Pod 间网络流量以及 Pod 与外部网络之间的流量的资源对象。通过配置 NetworkPolicy,你可以在 Kubernetes 集群中实现基于网络的安全策略,类似防火墙规则。
1. NetworkPolicy 基础概念
- Pod Selector:选择应用该网络策略的 Pod。
- Ingress(入站规则):控制哪些 Pod 或 IP 地址可以向选中的 Pod 发送流量。
- Egress(出站规则):控制哪些 Pod 或 IP 地址可以从选中的 Pod 接收流量。
- Namespace Selector:选择网络策略影响的命名空间。
- IP Block:定义允许或拒绝的 IP 范围。
2. NetworkPolicy 的作用
- 限制哪些流量可以进入或离开某个 Pod。
- 控制 Pod 间的网络通信,以及 Pod 与外部服务的通信。
- 提供网络层的隔离,使得默认情况下 Pod 不允许相互通信,除非允许。
3. NetworkPolicy 示例
示例1:允许特定 Pod 的 Ingress 流量
这个示例定义了一个 NetworkPolicy,允许 app=web 的 Pod 接收来自标签为 app=db 的 Pod 的流量。
yaml
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: allow-db-to-web
namespace: default
spec:
podSelector:
matchLabels:
app: web
policyTypes:
- Ingress
ingress:
- from:
- podSelector:
matchLabels:
app: db解释:
podSelector:选择应用该策略的目标 Pod,这里是标签app=web的 Pod。policyTypes:指定策略类型,这里是Ingress(入站流量)。ingress:定义允许哪些来源发送入站流量,这里允许来自app=db的 Pod 发送流量。
示例2:限制所有 Egress 流量,允许到特定 IP 的 Egress 流量
这个示例限制 app=backend 的 Pod 发出的所有流量,只允许到 10.0.0.0/24 这个子网的流量。
yaml
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: restrict-egress
namespace: default
spec:
podSelector:
matchLabels:
app: backend
policyTypes:
- Egress
egress:
- to:
- ipBlock:
cidr: 10.0.0.0/24解释:
podSelector:选择app=backend的 Pod。policyTypes:策略类型为Egress(出站流量)。egress:定义允许的出站流量,这里只允许到10.0.0.0/24网段的 IP。
示例3:允许从命名空间选择的 Pod 访问
这个示例允许 app=frontend 的 Pod 接收来自 namespace: dev 命名空间中 app=backend 的 Pod 的入站流量。
yaml
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: allow-from-namespace
namespace: default
spec:
podSelector:
matchLabels:
app: frontend
policyTypes:
- Ingress
ingress:
- from:
- namespaceSelector:
matchLabels:
name: dev
podSelector:
matchLabels:
app: backend解释:
namespaceSelector:选择dev命名空间。podSelector:选择app=backend的 Pod。ingress:定义允许的入站流量,来自dev命名空间中app=backend的 Pod。
4. 默认行为
在 Kubernetes 中,如果没有定义任何 NetworkPolicy ,Pod 之间是可以自由通信的(基于网络插件)。一旦为某个 Pod 创建了 NetworkPolicy,默认情况下:
- Ingress:会拒绝所有入站流量,除非被明确允许。
- Egress:同理,出站流量会被拒绝,除非有明确规则。
5. 应用 NetworkPolicy 的网络插件
并非所有 Kubernetes 网络插件都支持 NetworkPolicy。以下是支持 NetworkPolicy 的常见插件:
- Calico
- Cilium
- Weave Net
- Kube-router
- Romana
如果使用不支持 NetworkPolicy 的网络插件(如 Flannel),创建的 NetworkPolicy 将不起作用。
6. 常见 NetworkPolicy 操作命令
-
应用 NetworkPolicy
使用
kubectl apply命令应用 NetworkPolicy 文件:bashkubectl apply -f network-policy.yaml -
查看已创建的 NetworkPolicy
查看某命名空间下的所有 NetworkPolicy:
bashkubectl get networkpolicy -n <namespace> -
描述 NetworkPolicy
详细查看某个 NetworkPolicy 的配置信息:
bashkubectl describe networkpolicy <policy-name> -n <namespace> -
删除 NetworkPolicy
删除指定的 NetworkPolicy:
bashkubectl delete networkpolicy <policy-name> -n <namespace>
总结:
- NetworkPolicy 提供了一种方式来控制 Kubernetes 集群中 Pod 之间的网络流量,类似于防火墙规则。
- 通过选择合适的
podSelector、namespaceSelector、ingress和egress规则,可以实现精细的流量控制。 - 需要网络插件的支持才能生效,并且默认行为是一旦有 NetworkPolicy,则会阻止未允许的流量。