k8s网络策略

k8s网络策略

k8s网络测试概述

网络策略就是设置防火墙

查看防火墙策略

shell 复制代码
# 获取当前命名空间下的所有 NetworkPolicy 资源(网络策略)
# NetworkPolicy 用于控制 Pod 之间的网络通信规则
kubectl get networkpolicies

# 获取当前命名空间下的所有 NetworkPolicy 资源(简写命令)
# netpol 是 networkpolicies 的缩写,效果与全称命令等价
kubectl get netpol

k8s网络策略网络访问控制案例:

  • 需求:

只允许dev命名空间中的Pod访问test命名空间pod80端口.

  • 分析:
    一个只有specnetwork policy其他条件,意味着进出流全部禁止.
    只允许指定命名空间中的应用访问.

配置k8s网络策略

shell 复制代码
# 编辑k8s网络策略配置文件
vim k8s-networkpolicy.yaml

test 命名空间中创建以下 NetworkPolicy

yaml 复制代码
apiVersion: networking.k8s.io/v1  # 指定使用的 Kubernetes API 版本
kind: NetworkPolicy  # 资源类型为 NetworkPolicy,表示这是一个网络策略对象
metadata:
  name: allow-dev-to-test-80  # 设置该网络策略的名称为 'allow-dev-to-test-80'
  namespace: test  # 指定该网络策略适用于 'test' 命名空间
spec:
  podSelector: {}  # Pod 选择器为空对象,表示该策略适用于 'test' 命名空间下的所有 Pod
  policyTypes:
    - Ingress  # 仅应用于入站流量策略
  ingress:
    - from:
        - namespaceSelector:  # 定义流量来源为特定命名空间
            matchLabels:
              name: dev  # 匹配标签为 'name=dev' 的命名空间
      ports:
        - protocol: TCP  # 允许的协议类型为 TCP
          port: 80  # 允许访问的端口号为 80

保存

shell 复制代码
# 应用网络策略
kubectl apply -f k8s-networkpolicy.yaml

结果验证

shell 复制代码
# 命名空间打标签
kubectl labdel namespace dev name=dev
# 测试
kubectl run busybox --image=busybox -n dev --sleep 12h

# 可以访问
kubectl exec busybox -n dev --wget ${test命名空间pod的ip}

# 不可以访问
kubectl exec busybox --wget ${test命名空间pod的ip}

k8s网络策略配置示例

官方文档

protocolports层级下,只能指定tcp/udp/sctp

yaml 复制代码
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  # 网络策略名称
  name: allow-port-from-namespace
  namespace: corp-net
spec:
  # 根据标签筛选pod,{}表示所有
  podSelector: {}
  policyTypes:
    # 流方向
    - Ingress
  # Ingress(入pod流量)+from(从哪来)
  ingress:
    - from:
        # 从哪个ns来
        - namespaceSelector:
            # 匹配的label
            matchLabels:
              name: big-corp
      ports:
        # 允许的协议
        - protocol: TCP
	      # 允许的端口
	      port: 9200
相关推荐
lichenyang4533 天前
Docker 学习笔记(四):Dockerfile,把项目打成自己的镜像
docker·容器
lichenyang4533 天前
Docker 学习笔记(三):Docker 网络、bridge、子网和容器互通
docker·容器
lichenyang4533 天前
Docker 学习笔记(二):docker run 的参数到底在控制什么?
docker·容器
运维开发故事6 天前
基于 Arthas 的多集群在线诊断系统设计与实现
kubernetes
Patrick_Wilson8 天前
从「改个端口」到 502:Next.js on k8s 的容器端口、Service 映射与 env 覆盖
docker·kubernetes·next.js
探索云原生8 天前
K8s 1.36 这个 GA 特性,把 initContainer 拉模型的 hack 干掉了
ai·云原生·kubernetes
云恒要逆袭8 天前
运行你的第一个Docker容器
后端·docker·容器
Java之美9 天前
一次k8s升级引发的DevicePlugin注册失败
云原生·kubernetes
程序员老赵10 天前
10 分钟部署 OpenCode:Docker 一键安装,浏览器打开就能用 AI 写代码(附完整命令与排错)
docker·容器·ai编程