当前位置：首页 > news >正文

【云原生】k8s NetworkPolicy 网络策略是怎么样的

news 文章来源：https://blog.csdn.net/u011397981/article/details/130156738 2025/4/21 3:46:52

前言

随着微服务的流行，越来越多的云服务平台需要大量模块之间的网络调用。

在 Kubernetes 中，网络策略(NetworkPolicy)是一种强大的机制，可以控制 Pod 之间和 Pod 与外部网络之间的流量。

Kubernetes 中的 NetworkPolicy 定义了一组规则，这些规则允许或者拒绝特定流量的传输。通过使用 NetworkPolicy，Kubernetes 管理员能够更好地掌控容器网络，确保应用程序的网络安全性。

NetworkPolicy 可以实现什么

NetworkPolicy 可被定义为 Pod 标签选择器、命名空间选择器或者两者的组合。它可以实现以下功能：

限制 Pod 之间的流量：通过指定 Ingress 规则，可以阻止来自其他 Pod 的流量进入目标 Pod。
允许 Pod 之间的流量：需要为目标 Pod 配置 Egress 规则，以便只允许来自特定 Pod 的流量进入。
限制 Pod 与外部网络的通信：通过指定 Egress 规则，可以控制哪些类型的外部流量可以进入 Pod，并防止未经授权的访问。
允许 Pod 与外部网络的通信：需要为目标 Pod 配置 Ingress 规则，以便只允许来自特定 IP 地址、端口或协议的流量进入。

使用 NetworkPolicy 时，需要考虑什么

使用 NetworkPolicy 时，需要考虑以下几个方面：

NetworkPolicy 只在支持它的网络插件中起作用，例如 Calico、Cilium 和 Weave Net 等。
没有定义任何 NetworkPolicy 规则，则所有的流量都会被允许。
定义 NetworkPolicy 后，它只适用于当前命名空间中的 Pod。
在 NetworkPolicy 中指定标签选择器时，应保证其唯一性，以免给其他 Pod 带来影响。

网络策略有哪些

默认情况下，如果名字空间中不存在任何策略，则所有进出该名字空间中 Pod 的流量都被允许。

Namespace 隔离流量

默认情况下，所有 Pod 之间都是互通的。每个 Namespace 可以配置独立的网络策略，来隔离 Pod 之间的网络流量。

由此，可以通过创建匹配 Pod 的 Network Policy 来作为默认的网络策略，比如默认拒绝所有 Pod 之间 Ingress 的通信，如下：

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:name: default-deny
spec:podSelector: {}policyTypes:- Ingress

默认拒绝 Pod 之间 Egress（出口）通信的策略：

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:name: default-deny
spec:podSelector: {}policyTypes:- Egress

甚至是默认拒绝 Pod 之间 Ingress（入口）和 Egress（出口）通信的策略：

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:name: default-deny
spec:podSelector: {}policyTypes:- Ingress- Egress

Pod 隔离

Pod 隔离可以分为出口的隔离和入口的隔离。其实这里的“隔离”不是绝对的，而是还有一些其它限制。

比如可以通过使用标签选择器（这里可以是 namespaceSelector 和 podSelector）来控制 Pod 之间的流量。

如下面的 Network Policy:

允许 default namespace 中带有 role=myfront 标签的 Pod 访问 default namespace 中带有 role=mydb 标签 Pod 的 6379 端口
允许带有 project=myprojects 标签的 namespace 中所有 Pod 访问 default namespace 中带有 role=mydb 标签 Pod 的 6379 端口

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:name: test-network-policynamespace: default
spec:podSelector:matchLabels:role: mydbingress:- from:- namespaceSelector:matchLabels:project: myproject- podSelector:matchLabels:role: myfrontports:- protocol: tcpport: 6379

另外一个同时开启 Ingress 和 Egress 通信的策略为:

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:name: test-network-policynamespace: default
spec:podSelector:matchLabels:role: mydbpolicyTypes:- Ingress- Egressingress:- from:- ipBlock:cidr: 192.168.0.0/16except:- 192.168.1.0/24- namespaceSelector:matchLabels:project: myproject- podSelector:matchLabels:role: myfrontports:- protocol: TCPport: 6379egress:- to:- ipBlock:cidr: 10.1.0.0/24ports:- protocol: TCPport: 5978

它用来隔离 default namespace 中带有 role=mydb 标签的 Pod：

允许 default namespace 中带有 role=myfront 标签的 Pod 访问 default namespace 中带有 role=mydb 标签 Pod 的 6379 端口
允许带有 project=myprojects 标签的 namespace 中所有 Pod 访问 default namespace 中带有 role=mydb 标签 Pod 的 6379 端口
允许 default namespace 中带有 role=mydb 标签的 Pod 访问 10.1.0.0/24 网段的 TCP 5987 端口

使用场景

禁止访问指定服务

kubectl run web --image=nginx --labels app=web,env=prod --expose --port 80

在这里插入图片描述

网络策略如下:

kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:name: web-deny-all
spec:podSelector:matchLabels:app: webenv: prod

只允许指定 Pod 访问服务

kubectl run apiserver --image=nginx --labels app=bookstore,role=api --expose --port 80

网络策略如下:

kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:name: api-allow
spec:podSelector:matchLabels:app: bookstorerole: apiingress:- from:- podSelector:matchLabels:app: bookstore

禁止 namespace 中所有 Pod 之间的相互访问

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:name: default-denynamespace: default
spec:podSelector: {}

禁止其他 namespace 访问服务

kubectl create namespace secondary
kubectl run web --namespace secondary --image=nginx \--labels=app=web --expose --port 80

在这里插入图片描述

网络策略配置如下：

kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:namespace: secondaryname: web-deny-other-namespaces
spec:podSelector:matchLabels:ingress:- from:- podSelector: {}

此策略可以确保即使没有被其他任何 NetworkPolicy 选择的 Pod 也不会被允许流出流量。此策略不会更改任何 Pod 的入站流量隔离行为。

只允许指定 namespace 访问服务

kubectl run web --image=nginx \--labels=app=web --expose --port 80

网络策略如下：

kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:name: web-allow-prod
spec:podSelector:matchLabels:app: webingress:- from:- namespaceSelector:matchLabels:purpose: production

允许外网访问服务

kubectl run web --image=nginx --labels=app=web --port 80
kubectl expose deployment/web --type=LoadBalancer