k8s-配置网络策略 NetworkPolicy

在 Kubernetes (K8s) 中,NetworkPolicy 是一种用于控制 Pod 间网络流量以及 Pod 与外部网络之间的流量的资源对象。通过配置 NetworkPolicy,你可以在 Kubernetes 集群中实现基于网络的安全策略,类似防火墙规则。

1. NetworkPolicy 基础概念

  • Pod Selector:选择应用该网络策略的 Pod。
  • Ingress(入站规则):控制哪些 Pod 或 IP 地址可以向选中的 Pod 发送流量。
  • Egress(出站规则):控制哪些 Pod 或 IP 地址可以从选中的 Pod 接收流量。
  • Namespace Selector:选择网络策略影响的命名空间。
  • IP Block:定义允许或拒绝的 IP 范围。

2. NetworkPolicy 的作用

  • 限制哪些流量可以进入或离开某个 Pod。
  • 控制 Pod 间的网络通信,以及 Pod 与外部服务的通信。
  • 提供网络层的隔离,使得默认情况下 Pod 不允许相互通信,除非允许。

3. NetworkPolicy 示例

示例1:允许特定 Pod 的 Ingress 流量

这个示例定义了一个 NetworkPolicy,允许 app=web 的 Pod 接收来自标签为 app=db 的 Pod 的流量。

yaml 复制代码
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-db-to-web
  namespace: default
spec:
  podSelector:
    matchLabels:
      app: web
  policyTypes:
  - Ingress
  ingress:
  - from:
    - podSelector:
        matchLabels:
          app: db
解释:
  • podSelector :选择应用该策略的目标 Pod,这里是标签 app=web 的 Pod。
  • policyTypes :指定策略类型,这里是 Ingress(入站流量)。
  • ingress :定义允许哪些来源发送入站流量,这里允许来自 app=db 的 Pod 发送流量。
示例2:限制所有 Egress 流量,允许到特定 IP 的 Egress 流量

这个示例限制 app=backend 的 Pod 发出的所有流量,只允许到 10.0.0.0/24 这个子网的流量。

yaml 复制代码
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: restrict-egress
  namespace: default
spec:
  podSelector:
    matchLabels:
      app: backend
  policyTypes:
  - Egress
  egress:
  - to:
    - ipBlock:
        cidr: 10.0.0.0/24
解释:
  • podSelector :选择 app=backend 的 Pod。
  • policyTypes :策略类型为 Egress(出站流量)。
  • egress :定义允许的出站流量,这里只允许到 10.0.0.0/24 网段的 IP。
示例3:允许从命名空间选择的 Pod 访问

这个示例允许 app=frontend 的 Pod 接收来自 namespace: dev 命名空间中 app=backend 的 Pod 的入站流量。

yaml 复制代码
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-from-namespace
  namespace: default
spec:
  podSelector:
    matchLabels:
      app: frontend
  policyTypes:
  - Ingress
  ingress:
  - from:
    - namespaceSelector:
        matchLabels:
          name: dev
      podSelector:
        matchLabels:
          app: backend
解释:
  • namespaceSelector :选择 dev 命名空间。
  • podSelector :选择 app=backend 的 Pod。
  • ingress :定义允许的入站流量,来自 dev 命名空间中 app=backend 的 Pod。

4. 默认行为

在 Kubernetes 中,如果没有定义任何 NetworkPolicy ,Pod 之间是可以自由通信的(基于网络插件)。一旦为某个 Pod 创建了 NetworkPolicy,默认情况下:

  • Ingress:会拒绝所有入站流量,除非被明确允许。
  • Egress:同理,出站流量会被拒绝,除非有明确规则。

5. 应用 NetworkPolicy 的网络插件

并非所有 Kubernetes 网络插件都支持 NetworkPolicy。以下是支持 NetworkPolicy 的常见插件:

  • Calico
  • Cilium
  • Weave Net
  • Kube-router
  • Romana

如果使用不支持 NetworkPolicy 的网络插件(如 Flannel),创建的 NetworkPolicy 将不起作用。

6. 常见 NetworkPolicy 操作命令

  1. 应用 NetworkPolicy

    使用 kubectl apply 命令应用 NetworkPolicy 文件:

    bash 复制代码
    kubectl apply -f network-policy.yaml
  2. 查看已创建的 NetworkPolicy

    查看某命名空间下的所有 NetworkPolicy:

    bash 复制代码
    kubectl get networkpolicy -n <namespace>
  3. 描述 NetworkPolicy

    详细查看某个 NetworkPolicy 的配置信息:

    bash 复制代码
    kubectl describe networkpolicy <policy-name> -n <namespace>
  4. 删除 NetworkPolicy

    删除指定的 NetworkPolicy:

    bash 复制代码
    kubectl delete networkpolicy <policy-name> -n <namespace>

总结:

  • NetworkPolicy 提供了一种方式来控制 Kubernetes 集群中 Pod 之间的网络流量,类似于防火墙规则。
  • 通过选择合适的 podSelectornamespaceSelectoringressegress 规则,可以实现精细的流量控制。
  • 需要网络插件的支持才能生效,并且默认行为是一旦有 NetworkPolicy,则会阻止未允许的流量。
相关推荐
安科瑞刘鸿鹏17 分钟前
校园建筑用电安全监测装置 电气火灾监测预防设备功能介绍
运维·服务器·网络·嵌入式硬件·安全·能源
茶颜悦色vv2 小时前
网络搜索引擎Shodan(2)
网络·安全·web安全·搜索引擎·网络安全
盒马盒马3 小时前
Docker:存储卷
docker·容器
诡异森林。4 小时前
Docker:容器化和虚拟化
java·docker·容器
速盾cdn4 小时前
速盾:什么是高防CDN?高防CDN的用处有哪些?
运维·服务器·网络·web安全
黑龙江亿林等级保护测评4 小时前
做等保二级备案需要准备哪些材料
网络·安全·金融·智能路由器·ddos
星海幻影5 小时前
网络安全知识见闻终章 ?
网络·安全·web安全
kinlon.liu5 小时前
安全日志记录的重要性
服务器·网络·安全·安全架构·1024程序员节