Κοινή χρήση τεχνολογίας

한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina

• Απομόνωση χώρου ονομάτων

Από προεπιλογή, όλα τα Pods είναι πλήρως προσβάσιμα. Κάθε Χώρος ονομάτων μπορεί να διαμορφωθεί με ανεξάρτητες πολιτικές δικτύου για την απομόνωση της κυκλοφορίας μεταξύ των Pods.

Το v1.7+ χρησιμεύει ως η προεπιλεγμένη πολιτική δικτύου δημιουργώντας μια πολιτική δικτύου που ταιριάζει με όλα τα Pods

• Η επικοινωνία εισόδου μεταξύ όλων των Pods απορρίπτεται από προεπιλογή.

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
    name: default-deny
spec:
    podSelector: {}
    policyTypes:
    - Ingress

• Μια πολιτική που απορρίπτει την επικοινωνία εξόδου μεταξύ όλων των Pods από προεπιλογή

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
    name: default-deny
spec:
    podSelector: {}
    policyTypes:
    - Egress

• Μια πολιτική που απορρίπτει την επικοινωνία εισόδου και εξόδου μεταξύ όλων των Pods από προεπιλογή

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
    name: default-deny
spec:
    podSelector: {}
    policyTypes:
    - Ingress
    - Egress

• Μια πολιτική που επιτρέπει την επικοινωνία Ingress μεταξύ όλων των Pods από προεπιλογή

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
    name: allow-all
spec:
    podSelector: {}
    ingress:
    - {}

• Μια πολιτική που επιτρέπει την επικοινωνία εξόδου μεταξύ όλων των Pods από προεπιλογή

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
    name: allow-all
spec:
    podSelector: {}
    egress:
    - {}

• Απομόνωση λοβού

Ελέγξτε την κυκλοφορία μεταξύ των Pods χρησιμοποιώντας επιλογείς ετικετών, συμπεριλαμβανομένων των namespaceSelector και podSelector.

允许 default namespace 中带有 role=frontend 标签的 Pod 访问 default
namespace 中带有 role=db 标签 Pod 的 6379 端口
允许带有 project=myprojects 标签的 namespace 中所有 Pod 访问 default
namespace 中带有 role=db 标签 Pod 的 6379 端口
 
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
    name: test-network-policy
    namespace: default
spec:
    podSelector:
        matchLabels:
            role: db
    ingress:
    - from:
        - namespaceSelector:
            matchLabels:
                project: myproject
        - podSelector:
            matchLabels:
                role: frontend
        ports:
        - protocol: tcp
            port: 6379

允许 default namespace 中带有 role=frontend 标签的 Pod 访问 default
namespace 中带有 role=db 标签 Pod 的 6379 端口
允许带有 project=myprojects 标签的 namespace 中所有 Pod 访问 default
namespace 中带有 role=db 标签 Pod 的 6379 端口
NetworkPolicy
238
允许 default namespace 中带有 role=db 标签的 Pod 访问 10.0.0.0/24 网段
的 TCP 5978 端口
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
    name: test-network-policy
    namespace: default
spec:
    podSelector:
        matchLabels:
            role: db
    policyTypes:
    - Ingress
    - Egress
    ingress:
    - from:
        - ipBlock:
            cidr: 172.17.0.0/16
            except:
            - 172.17.1.0/24
        - namespaceSelector:
            matchLabels:
                project: myproject
        - podSelector:
            matchLabels:
                role: frontend
        ports:
        - protocol: TCP
            port: 6379
    egress:
    - to:
        - ipBlock:
            cidr: 10.0.0.0/24
        ports:
        - protocol: TCP
            port: 5978

• παράδειγμα

Τώρα έχει ρυθμιστεί μια υπηρεσία nginx Η θύρα πρόσβασης είναι 80. Η προεπιλεγμένη κατάσταση είναι ότι όλα τα pods μπορούν να έχουν πρόσβαση σε αυτήν την υπηρεσία.

$ kubectl get svc
NAME                TYPE        CLUSTER-IP       EXTERNAL-IP   PORT(S)        AGE
nginx-deployment    NodePort    10.102.52.246    <none>        80:31180/TCP   19d
 
启动一个busybox pod来访问nginx-deployment服务
$ kubectl exec -it pod/busybox-test -- sh
/ # wget --spider --timeout=1 nginx-deployment
Connecting to nginx-deployment (10.102.52.246:80)
remote file exists
/ #
 

Τώρα διαμορφώστε την πολιτική δικτύου για την υπηρεσία ανάπτυξης nginx έτσι ώστε το pod να μην μπορεί να έχει πρόσβαση σε αυτήν την υπηρεσία.

$ cat default-deny.yaml
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: default-deny
spec:
  podSelector: {}
  policyTypes:
  - Ingress
 
$ kubectl create -f default-deny.yaml
networkpolicy.networking.k8s.io/default-deny created
 
现在busybox的pod无法访问nginx-deployment服务了
$ kubectl exec -it pod/busybox-test -- sh
/ # wget --spider --timeout=1 nginx-deployment
Connecting to nginx-deployment (10.102.52.246:80)
wget: download timed out
/ # exit
 
 
查看networkpolicy
$ kubectl get networkpolicy
NAME           POD-SELECTOR   AGE
default-deny   <none>         102s

Δημιουργήστε μια άλλη πολιτική δικτύου που εκτελεί την πρόσβαση στο Pod με access=true:

表示所有带有 access=true label 的pods都可以访问nginx-deployment服务
$ cat nginx-policy.yaml
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: access-nginx
spec:
  podSelector:
    matchLabels:
      app: nginx
  ingress:
  - from:
    - podSelector:
        matchLabels:
          access: "true"
 
 
启动一个带有access=true label的busybox服务
$ cat busybox-test.yaml
apiVersion: v1
kind: Pod
metadata:
  annotations:
    cni.projectcalico.org/containerID: fefc92be6bb04bacdf757a0b4132d72c2133c94dbfa684296cf59772817fc939
    cni.projectcalico.org/podIP: 172.16.43.1/32
    cni.projectcalico.org/podIPs: 172.16.43.1/32
  creationTimestamp: "2024-06-28T08:39:13Z"
  labels:
    access: "true"
    purpose: demonstrate-busybox
  name: busybox-test
  namespace: default
  resourceVersion: "208006"
  uid: 2d94690d-4f16-4bb6-a540-4682334170af
spec:
  containers:
  - command:
    - sleep
    - "3600"
    image: busybox
    imagePullPolicy: IfNotPresent
    name: busybox
    resources:
... ...
 
 
$ kubectl apply -f busybox-test.yaml
 
此时看到busybox-test这个pod已经带有access=true的label了
$ kubectl describe pod busybox-test
Name:             busybox-test
Namespace:        default
Priority:         0
Service Account:  default
Node:             kevin-pc/192.168.227.129
Start Time:       Fri, 28 Jun 2024 16:39:13 +0800
Labels:           access=true
 
 
然后通过busybox-test访问nginx服务就可以访问到了
$ kubectl exec -it pod/busybox-test -- sh
/ # wget --spider -timeout=1 nginx-deployment
Connecting to nginx-deployment (10.102.52.246:80)
remote file exists
/ #

• διαγραφή πολιτικής δικτύου

Μετά τη διαγραφή της πολιτικής δικτύου, όλα τα pods μπορούν να έχουν πρόσβαση στην υπηρεσία ανάπτυξης nginx από προεπιλογή.

$ kubectl get networkpolicy
NAME           POD-SELECTOR   AGE
access-nginx   app=nginx      10m
default-deny   <none>         17m
$ kubectl delete network policy access-nginx

• Παραδείγματα διαμόρφωσης πολλών πολιτικών πρόσβασης

• Απαγόρευση πρόσβασης σε συγκεκριμένες υπηρεσίες

Αρχικά ξεκινήστε μια υπηρεσία nginx και επισημάνετε αυτήν την υπηρεσία

kubectl run web --image=nginx --labels app=web,env=prod --expose --po
rt 80

（没有配置ingress，所以所有的pod都没法访问这个服务）
kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
    name: web-deny-all
spec:
    podSelector:
        matchLabels:
            app: web
            env: prod

• Να επιτρέπεται μόνο σε καθορισμένα Pods να έχουν πρόσβαση σε υπηρεσίες

kubectl run apiserver --image=nginx --labels app=bookstore,role=api -
-expose --port 80

kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
    name: api-allow
spec:
    podSelector:
        matchLabels:
            app: bookstore
            role: api
    ingress:
    - from:
        - podSelector:
            matchLabels:
                app: bookstore

• Απενεργοποιήστε την αμοιβαία πρόσβαση μεταξύ όλων των Pods στον χώρο ονομάτων

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
    name: default-deny
    namespace: default
spec:
    podSelector: {}

• Αποτρέψτε την πρόσβαση άλλων χώρων ονομάτων σε υπηρεσίες

kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
    namespace: default
    name: web-deny-other-namespaces
spec:
    podSelector:
        matchLabels:
    ingress:
    - from:
        - podSelector: {}

• Να επιτρέπεται μόνο σε καθορισμένο χώρο ονομάτων να έχει πρόσβαση σε υπηρεσίες

kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
    name: web-allow-prod
spec:
    podSelector:
        matchLabels:
            app: web
    ingress:
    - from:
        - namespaceSelector:
            matchLabels:
                purpose: production

• Να επιτρέπεται η πρόσβαση εξωτερικού δικτύου σε υπηρεσίες

kubectl run web --image=nginx --labels=app=web --port 80
kubectl expose deployment/web --type=LoadBalancer

kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
    name: web-allow-external
spec:
    podSelector:
        matchLabels:
            app: web
    ingress:
    - ports:
        - port: 80
        from: []