小編給大家分享一下kubernetes中NetworkPolicy有什么用，希望大家閱讀完這篇文章之后都有所收獲，下面讓我們一起去探討吧！

在蓮花等地區(qū)，都構(gòu)建了全面的區(qū)域性戰(zhàn)略布局，加強(qiáng)發(fā)展的系統(tǒng)性、市場(chǎng)前瞻性、產(chǎn)品創(chuàng)新能力，以專注、極致的服務(wù)理念，為客戶提供成都網(wǎng)站設(shè)計(jì)、做網(wǎng)站 網(wǎng)站設(shè)計(jì)制作按需求定制設(shè)計(jì),公司網(wǎng)站建設(shè),企業(yè)網(wǎng)站建設(shè),成都品牌網(wǎng)站建設(shè),全網(wǎng)營(yíng)銷推廣,成都外貿(mào)網(wǎng)站建設(shè)公司,蓮花網(wǎng)站建設(shè)費(fèi)用合理。

一： 簡(jiǎn)介
 1.Kubernetes的一個(gè)重要特性就是要把不同node節(jié)點(diǎn)的pod連接起來(lái)，無(wú)視物理節(jié)點(diǎn)的限制。但是在某些應(yīng)用環(huán)境中，比如公有云，不同租戶的pod不應(yīng)該互通，這個(gè)時(shí)候就需要網(wǎng)絡(luò)隔離。幸好，Kubernetes提供了NetworkPolicy，支持按Namespace級(jí)別的網(wǎng)絡(luò)隔離。Network Policy提供了基于策略的網(wǎng)絡(luò)控制，用于隔離應(yīng)用并減少攻擊面。它使用標(biāo)簽選擇器模擬傳統(tǒng)的分段網(wǎng)絡(luò)，并通過(guò)策略控制它們之間的流量以及來(lái)自外部的流量。

 2.Kubernetes提供了NetworkPolicy，支持按Namespace和按Pod級(jí)別的網(wǎng)絡(luò)訪問(wèn)控制。它利用label指定namespaces或pod，底層用iptables實(shí)現(xiàn)。不是所有的 Kubernetes 網(wǎng)絡(luò)方案都支持 Network Policy。比如 Flannel 就不支持，Calico 是支持的。

3.

 a.通過(guò)kubectl client創(chuàng)建network policy資源；
 b.calico的policy-controller監(jiān)聽(tīng)network policy資源，獲取到后寫(xiě)入calico的etcd數(shù)據(jù)庫(kù)；
 c.node上calico-felix從etcd數(shù)據(jù)庫(kù)中獲取policy資源，調(diào)用iptables做相應(yīng)配置。

二： NetworkPolicy 資源配置

1. apiVersion: networking.k8s.io/v1

2. kind: NetworkPolicy

3. metadata:

4.   name: test-network-policy

5.   namespace: default

6. spec:

7.   podSelector:

8.     matchLabels:

9.       role: db

10.   ingress:

11.   - from:

12.     - namespaceSelector:

13.         matchLabels:

14.           project: myproject

15.     - podSelector:

16.         matchLabels:

17.           role: frontend

18.     ports:

19.     - protocol: TCP

20.       port: 6379

1.podSelector：每個(gè) NetworkPolicy 包含一個(gè) podSelector，它可以選擇一組應(yīng)用了網(wǎng)絡(luò)策略的 Pod。由于 NetworkPolicy 當(dāng)前只支持定義 ingress 規(guī)則，這個(gè) podSelector 實(shí)際上為該策略定義了一組 “目標(biāo)Pod”。示例中的策略選擇了標(biāo)簽為 “role=db” 的 Pod。一個(gè)空的 podSelector 選擇了該 Namespace 中的所有 Pod。

2.ingress：每個(gè)NetworkPolicy 包含了一個(gè)白名單 ingress 規(guī)則列表。每個(gè)規(guī)則只允許能夠匹配上 from 和 ports配置段的流量。示例策略包含了單個(gè)規(guī)則，它從這兩個(gè)源中匹配在單個(gè)端口上的流量，第一個(gè)是通過(guò)namespaceSelector 指定的，第二個(gè)是通過(guò) podSelector 指定的。

3. 在 “default” Namespace中 隔離了標(biāo)簽 “role=db” 的 Pod（如果他們還沒(méi)有被隔離）； 在 “default” Namespace中，允許任何具有 “role=frontend” 的 Pod，連接到標(biāo)簽為 “role=db” 的 Pod 的 TCP 端口 6379；允許在 Namespace 中任何具有標(biāo)簽 “project=myproject” 的 Pod，連接到 “default” Namespace 中標(biāo)簽為 “role=db” 的 Pod 的 TCP 端口 6379。

三：默認(rèn)策略
1.通過(guò)創(chuàng)建一個(gè)可以選擇所有 Pod 但不允許任何流量的 NetworkPolicy，你可以為一個(gè) Namespace 創(chuàng)建一個(gè) “默認(rèn)的” 隔離策略。

1. apiVersion: networking.k8s.io/v1

2. kind: NetworkPolicy

3. metadata:

4.   name: default-deny

5. spec:

6.   podSelector:

2.在 Namespace 中，如果你想允許所有的流量進(jìn)入到所有的 Pod（即使已經(jīng)添加了某些策略，使一些 Pod 被處理為 “隔離的”），你可以通過(guò)創(chuàng)建一個(gè)策略來(lái)顯式地指定允許所有流量。

1. apiVersion: networking.k8s.io/v1

2. kind: NetworkPolicy

3. metadata:

4.   name: allow-all

5. spec:

6.   podSelector:

7.   ingress:

8.   - {}

看完了這篇文章，相信你對(duì)“kubernetes中NetworkPolicy有什么用”有了一定的了解，如果想了解更多相關(guān)知識(shí)，歡迎關(guān)注創(chuàng)新互聯(lián)-成都網(wǎng)站建設(shè)公司行業(yè)資訊頻道，感謝各位的閱讀！

分享標(biāo)題：kubernetes中NetworkPolicy有什么用-創(chuàng)新互聯(lián)
文章路徑：http://jinyejixie.com/article16/dhdcdg.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供云服務(wù)器、外貿(mào)建站、網(wǎng)站改版、網(wǎng)頁(yè)設(shè)計(jì)公司、外貿(mào)網(wǎng)站建設(shè)、網(wǎng)站制作

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)