📝
kubernetes-note
  • 前言
  • Kubernetes安装
    • 安装
      • 使用minikube
        • 创建用户
      • 使用kubeadm
      • 安装监控插件
  • Kubernetes介绍
    • Kubernetes
      • 集群架构
        • etcd分布式存储
        • API服务器
        • Scheduler调度器
        • ControllerManager控制器管理器
        • kubelet
        • kube-proxy
      • 使用Kubernetes好处
      • Deployment资源部署流程案例
      • Pod中的基础容器
      • 集群底层网络
      • 高可用
  • Namespace
    • Namespace
  • Pod
    • Pod
      • 管理 Pod
      • 标签
      • 注解
      • 探针
      • 共享宿主机命名空间
      • Pod 的安全管理
        • 安全上下文
        • PodSecurityPolicy 限制 Pod 使用安全上下文中的相关特性
        • 网络安全
      • 资源管理
        • 资源申请和限制
        • QoS 优先级
        • LimitRange 校验资源申请和限制量
        • ResourceQuota 限制可用资源总量
      • init 容器
      • 生命周期钩子
  • 控制器Controllers
    • Controllers介绍
    • Controllers
      • ReplicationController
      • ReplicaSet
      • Deployment
      • DaemonSet
      • Job
      • CronJob
      • StatefulSet
  • Service
    • Service介绍
      • 内部Pod发现Service
      • HeadlessService
    • 与集群外部服务映射
    • 集群外部访问内部Pod
      • NodePort
      • LoadBalancer
      • Ingress
  • 卷
    • 卷介绍
    • 卷类型
      • emptyDir
      • gitRepo
      • hostPath
      • nfs
    • PVC-持久卷声明
      • StorageClass自动创建卷
  • ConfigMap和Secret
    • ConfigMap和Secret应用场景
    • ConfigMap
      • 配置传入ConfigMap
      • 从ConfigMap中读取配置
        • 读取为环境变量
        • 读取为文件
    • Secret
      • Secret特性
      • 默认Secret
      • Secret类型
        • generic
        • docker-registry
        • tls
  • 获取集群元数据
    • 获取集群元数据
      • 环境变量
      • downward API卷
      • 与Kubernetes API服务器交互
        • 用户通过代理与API服务器交互
        • Pod内部与API服务器交互
          • 使用默认Secret提供的验证信息
          • 使用ambassador容器
        • 通过SDK与API服务器交互
  • 认证与授权
    • 认证与授权
      • 认证机制
        • 用户与组
        • ServiceAccount
      • 授权机制
        • RBAC 插件介绍
        • Role 和 RoleBinding
        • ClusterRole 和 ClusterRoleBinding
  • 扩缩容
    • 自动伸缩 Pod 与 Node
      • 伸缩 Pod
        • 横向伸缩
        • 纵向伸缩
      • 横向伸缩 Node
  • 高级调度
    • 高级调度
      • Node 污点与 Pod 容忍度
      • Pod 中的亲缘性
        • 与 Node 的亲缘性
        • 与 Pod 的亲缘性
  • 基于 Kubernetes 的应用开发注意点
    • 基于 Kubernetes 的应用开发注意点
  • 扩展 Kubernetes
    • 扩展 Kubernetes
      • CRD 资源
      • APIService 资源
  • 命令汇总
    • 常用命令汇总
Powered by GitBook
On this page
  • 限制访问 Pod 的流量
  • 限制出自 Pod 的流量

Was this helpful?

  1. Pod
  2. Pod
  3. Pod 的安全管理

网络安全

这里指的网络安全是 Pod 的网络隔离,利用 Kubernetes 的 NetworkPolicy 资源为 Pod 设置安全组,可限制能够 访问该 Pod 或 从该 Pod 发出 的数据。

该资源需要网络插件的支持,用户可以使用 Calico 插件启用该功能,其底层使用 iptables 来进行网络隔离。

该资源可以从三层、四层进行数据识别并隔离。

🧟‍♂️ 在匹配数据流量时,有三个字段起作用,取并集,即满足其中任何一个字段指定的要求的流量,都会被匹配:

  • ipBlock:无视 NetworkPolicy 所在的命名空间,只根据数据流量的 IP 地址进行匹配;

  • podSelector:匹配 NetworkPolicy 所在命名空间 的满足标签信息的 Pod;

  • namespaceSelector:无视 NetworkPolicy 所在的命名空间,根据命名空间的标签进行匹配,匹配到的命名空间中的 所有 Pod 的流量均会被匹配;

🗣 由于 NetworkPolicy 是命名空间级别的资源,因此需要注意的是其使用 networkpolicy.spec.podSelector 匹配的目标 Pod 必须是与其在同一个命名空间中的,其他命名空间中具备符合标签匹配规则的 Pod 不会被匹配。

🗣 networkpolicy.spec.ingress.podSelector 以及 networkpolicy.spec.egress.podSelector 中匹配的访问目标 Pod 的流量的发送 Pod 和 从目标 Pod 发送的流量访问的 Pod 需要与 NetworkPolicy 在同一个命名空间中,否则其他命名空间中及时满足标签匹配,也 不会被匹配。

限制访问 Pod 的流量

该类型的流量限制可以通过 networkpolicy.spec.podSelector 先指定需要限制访问的 Pod 的标签匹配,可以使用简单的 matchLabels 也可以使用 matchExpressions 进行复杂匹配;

然后在 networkpolicy.spec.ingress 中指定访问 Pod 所匹配的网络数据特性。

下面直接展示一个例子,在 default 命名空间中创建了一个 NetworkPolicy,该资源用于限制访问带有标签 app=database 的 Pod 的流量,只能访问该 Pod 的 2345 端口,且只要满足下面这些条件中的 任意一条 就可以访问:

  • 从 ipBlock 中可见,来自 IP 地址为 192.168.28.100 的 Pod 的流量可以访问该 Pod 的指定端口;

  • 从 podSelector 中可见,在 default 命名空间中,来自带有标签 app=webserver 的 Pod 的流量可以访问该 Pod 的指定端口;

  • 从 namespaceSelector 中可见,来自带有标签 tenant=manning 的命名空间中的所有 Pod 的流量均可以访问该 Pod 的指定端口;

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: postgres-netpolicy
  namespace: default
spec:
  podSelector:    # 选择目标 Pod
    matchLabels:    # 根据标签匹配 Pod(也可以用 matchExpressions,可以更灵活的匹配 Pod 标签)
      app: database
  ingress:    # 限制访问目标 Pod 的流量
  - from:        # 流量的来源
    - ipBlock:    # IP 地址段,来自该 IP 地址段的可以访问(不受命名空间限制)
        cidr: 192.168.28.100/31
        except:
        - 192.168.28.101/32
    - podSelector:    # 被匹配的当前 NetworkPolicy 所在命名空间的源 Pod 可以访问
        matchLabels:    # 根据标签匹配 Pod(也可以用 matchExpressions,可以更灵活的匹配 Pod 标签)
          app: webserver
    - namespaceSelector:    # 被匹配的命名空间中的所有 Pod 可以访问(不受命名空间限制)
        matchLabels:    # 根据标签匹配命名空间(也可以用 matchExpressions,可以更灵活的匹配命名空间标签)
          tenant: manning
    ports:    # 只允许访问目标 Pod 的 2345 端口
    - port: 2345

限制出自 Pod 的流量

该类型的流量限制可以通过 networkpolicy.spec.podSelector 先指定需要限制流量出自的 Pod 的标签匹配,可以使用简单的 matchLabels 也可以使用 matchExpressions 进行复杂匹配;

然后在 networkpolicy.spec.egress 中指定访问 Pod 所匹配的网络数据特性。

下面直接展示一个例子,

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: egress-net-policy
  namespace: default
spec:
  podSelector:    # 选择目标 Pod
    matchLabels:    # 根据标签匹配 Pod(也可以用 matchExpressions,可以更灵活的匹配 Pod 标签)
      app: webserver
  egress:    # 限制出自目标 Pod 的流量
  - to:    # 流量的目的
    - podSelector:    # 目标 Pod 可以发送流量至被匹配的当前 NetworkPolicy 所在命名空间的 Pod
        matchLabels:    # 根据标签匹配 Pod(也可以用 matchExpressions,可以更灵活的匹配 Pod 标签)
          app: database
    ports:    # 只允许发送目标端口为 2345 的流量
    - port: 2345

networkpolicy.spec.egress.to 中同样也包含与 ingress 中一样的 ipBlock、podSelector 和 namespaceSelector 字段,用法及注意点与后者中的一样,这里就不做更多解释。

PreviousPodSecurityPolicy 限制 Pod 使用安全上下文中的相关特性Next资源管理

Last updated 4 years ago

Was this helpful?