共計(jì) 1929 個(gè)字符，預(yù)計(jì)需要花費(fèi) 5 分鐘才能閱讀完成。

丸趣 TV 小編給大家分享一下 kubernetes 中 NetworkPolicy 有什么用，希望大家閱讀完這篇文章之后都有所收獲，下面讓我們一起去探討吧！

一：簡(jiǎn)介
 1.Kubernetes 的一個(gè)重要特性就是要把不同 node 節(jié)點(diǎn)的 pod 連接起來(lái)，無(wú)視物理節(jié)點(diǎn)的限制。但是在某些應(yīng)用環(huán)境中，比如公有云，不同租戶的 pod 不應(yīng)該互通，這個(gè)時(shí)候就需要網(wǎng)絡(luò)隔離。幸好，Kubernetes 提供了 NetworkPolicy，支持按 Namespace 級(jí)別的網(wǎng)絡(luò)隔離。Network Policy 提供了基于策略的網(wǎng)絡(luò)控制，用于隔離應(yīng)用并減少攻擊面。它使用標(biāo)簽選擇器模擬傳統(tǒng)的分段網(wǎng)絡(luò)，并通過(guò)策略控制它們之間的流量以及來(lái)自外部的流量。

 2.Kubernetes 提供了 NetworkPolicy，支持按 Namespace 和按 Pod 級(jí)別的網(wǎng)絡(luò)訪問(wèn)控制。它利用 label 指定 namespaces 或 pod，底層用 iptables 實(shí)現(xiàn)。不是所有的 Kubernetes 網(wǎng)絡(luò)方案都支持 Network Policy。比如 Flannel 就不支持，Calico 是支持的。

3.

 a. 通過(guò) kubectl client 創(chuàng)建 network policy 資源；
 b.calico 的 policy-controller 監(jiān)聽 network policy 資源，獲取到后寫入 calico 的 etcd 數(shù)據(jù)庫(kù)；
 c.node 上 calico-felix 從 etcd 數(shù)據(jù)庫(kù)中獲取 policy 資源，調(diào)用 iptables 做相應(yīng)配置。

二：NetworkPolicy 資源配置

apiVersion: networking.k8s.io/v1

kind: NetworkPolicy

metadata:

 name: test-network-policy

 namespace: default

spec:

 podSelector:

 matchLabels:

 role: db

 ingress:

 – from:

 – namespaceSelector:

 matchLabels:

 project: myproject

 – podSelector:

 matchLabels:

 role: frontend

 ports:

 – protocol: TCP

 port: 6379

1.podSelector：每個(gè) NetworkPolicy 包含一個(gè) podSelector，它可以選擇一組應(yīng)用了網(wǎng)絡(luò)策略的 Pod。由于 NetworkPolicy 當(dāng)前只支持定義 ingress 規(guī)則，這個(gè) podSelector 實(shí)際上為該策略定義了一組“目標(biāo) Pod”。示例中的策略選擇了標(biāo)簽為“role=db”的 Pod。一個(gè)空的 podSelector 選擇了該 Namespace 中的所有 Pod。

2.ingress：每個(gè) NetworkPolicy 包含了一個(gè)白名單 ingress 規(guī)則列表。每個(gè)規(guī)則只允許能夠匹配上 from 和 ports 配置段的流量。示例策略包含了單個(gè)規(guī)則，它從這兩個(gè)源中匹配在單個(gè)端口上的流量，第一個(gè)是通過(guò) namespaceSelector 指定的，第二個(gè)是通過(guò) podSelector 指定的。

3. 在“default”Namespace 中 隔離了標(biāo)簽“role=db”的 Pod（如果他們還沒有被隔離）；在“default”Namespace 中，允許任何具有“role=frontend”的 Pod，連接到標(biāo)簽為“role=db”的 Pod 的 TCP 端口 6379；允許在 Namespace 中任何具有標(biāo)簽“project=myproject”的 Pod，連接到“default”Namespace 中標(biāo)簽為“role=db”的 Pod 的 TCP 端口 6379。

三：默認(rèn)策略
1. 通過(guò)創(chuàng)建一個(gè)可以選擇所有 Pod 但不允許任何流量的 NetworkPolicy，你可以為一個(gè) Namespace 創(chuàng)建一個(gè)“默認(rèn)的”隔離策略。

apiVersion: networking.k8s.io/v1

kind: NetworkPolicy

metadata:

 name: default-deny

spec:

 podSelector:

2. 在 Namespace 中，如果你想允許所有的流量進(jìn)入到所有的 Pod（即使已經(jīng)添加了某些策略，使一些 Pod 被處理為“隔離的”），你可以通過(guò)創(chuàng)建一個(gè)策略來(lái)顯式地指定允許所有流量。

apiVersion: networking.k8s.io/v1

kind: NetworkPolicy

metadata:

 name: allow-all

spec:

 podSelector:

 ingress:

 – {}

看完了這篇文章，相信你對(duì)“kubernetes 中 NetworkPolicy 有什么用”有了一定的了解，如果想了解更多相關(guān)知識(shí)，歡迎關(guān)注丸趣 TV 行業(yè)資訊頻道，感謝各位的閱讀！