29.B站薪享宏福笔记——第十一章(4)网络策略NetworkPolicy
11.5 网络策略NerworkPolicy
—— 既能防进也能防出
11.5.1 网络策略
如果希望在 IP地址 或端口层面(OSI模型 的 第3层 或 第4层)控制网络流量,则可以考虑为集群中特定应用使用 Kubernetes 网络策略(NetworkPolicy)
Pod 是通过如下三个标识符的组合来辨识是否可以通讯:
其他被允许的 Pods(例外: Pod 无法阻塞对自身的访问)
被允许的名字空间
IP 组块(例外: 与 Pod 运行所在的节点的通信总是被允许的,无论 Pod 或节点的 IP 地址)
网络策略通过 网络插件 来实现,要使用网略策略,必须使用支持 NetworkPolicy 的网络解决方案,创建一个 NetworkPolicy 资源对象而没有控制器来使他生效的话,是没有任何作用的
Antrea
Calico
Cilium
kube-router
Romana
Weave 网络
隔离默认策略
出口的隔离
默认情况下,一个 Pod 的出口是非隔离的,即所有外向连接都是被允许的
入口的隔离
默认情况下,一个 Pod 对入口是非隔离的,即所有入站连接都是被允许的
特别说明
网络策略是相加的,所以不会产生冲突。如果策略适用于 Pod 某一特定方向的流量,Pod 在对应方向所允许的连接是适用的网路策略所允许的结合,因此,评估的顺序不影响策略的结果
要允许从源 Pod 到目的 Pod 的连接,源 Pod 的出口策略和目的 Pod 的入口策略都需要允许连接。如果任何一方不允许连接,建立连接将会失败
6:24
———————————————————————————————————————————————————————————————————————————
无敌小马爱学习