本章介绍如何通过限制pod可以与其他哪些pod通信,来确保pod之间的网络安全。

  是否可以进行这些配置取决于集群中使用的容器网络插件。如果网络插件支持,可以通过NetworkPolicy资源配置网络隔离。

  一个NetworkPolicy会应用在匹配它的标签选择器的pod上,指明这些允许访问这些pod的源地址,或这些pod可以访问的目标地址。这些分别由入向(ingress) 和出向(egress)规则指定。这两种规则都可以匹配由标签选择器选出的pod,或者一个namespace中的所有pod,或者通过无类别域间路由(Classless Inter-Domain Routing, CIDR)指定的IP地址段。

  将介绍这两种规则及全部三种匹配选项。

  注意:入向规则与Ingress资源无关。

 

1.在一个命名空间中启用网络隔离

  在默认情况下,某一命名空间中的pod可以被任意来源访问。首先,需要改变这个设定。需要创建一个default-deny NetworkPolicy,它会阻止任何客户端访问中的pod。这个NetworkPolicy的定义如以下代码所示。

#代码13.21 default-deny NetworkPolicy定义: network-policy-default-deny.yaml
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: default-deny
spec:
  podSelector:            #空的标签选择器匹配命名空间中的所有pod

  在任何一个特定的命名空间中创建该NetworkPolicy之后,任何客户端都不能访问该命名空间中的pod。

  注意:集群中的CNI插件或其他网络方案需要支持NetworkPolicy,否则NetworkPolicy将不会影响pod之间的可达性。

 

2.允许同一命名空间中的部分pod访问一个服务端pod

  为了允许同一命名空间中的客户端pod访问该命名空间的pod,需要指明哪些pod可以访问。接下来,通过例子来探究如何做到这些。

  假设在foo namespace中有一个pod运行PostgreSQL数据库,以及一个使用该数据库的网页服务器pod,其他pod也在这个命名空间中运行,然而你不允许它们连接数据库。为了保障网络安全,需要在数据库pod所在的命名空间中创建一个如以下代码清单所示的NetworkPolicy资源。

#代码13.22 为Postgres pod使用的NetworkPolicy:network-policy-postgres.yaml
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: postgres-netpolicy
spec:                              #这个策略确保了对具有app=database标签的pod的访问安全性
  podSelector:
    matchLabels:
      app: database
  ingress:                        #它予许来自具有app=webserver标签的pod的访问
  - from:
    - podSelector:
        matchLabels:
          app: webserver
    ports:                             #予许对这个端口访问

  例子中的NetworkPolicy允许具有app=webserver标签的pod访问具有app=database的pod的访问,并且仅限访问5432端口,如图13.4所示。

Kubernetes隔离pod的网络_客户端

  客户端pod通常通过Service而非直接访问pod来访问服务端pod,但这对结果没有改变。NetworkPolicy在通过Service访问时仍然会被执行。

 

 

3.在不同 Kubernetes 命名空间之间进行网络隔离

  现在来看有另一个多个租户使用同一Kubernetes集群的例子。每个租户有多个命名空间,每个命名空间中有一个标签指明它们属于哪个租户。例如,有一个租户Manning,它的所有命名空间中都有标签tenant:manning。其中的一个命名空间中运行了一个微服务Shopping Cart,它需要允许同一租户下所有命名空间的所有pod访问。显然,其他租户禁止访问这个微服务。

  为了保障该微服务安全,可以创建如下的NetworkPolicy资源,如以下代码所示。

#代码13.23 为shopping cart微服务中的pod使用的NetworkPolicy: network-policy-cart.yaml
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: shoppingcart-netpolicy
spec:
  podSelector:                          #该策略应用于具有app=shopping-cart标签的pod
    matchLabels:
      app: shopping-cart 
  ingress:
  - from:
    - namespaceSelector:         #只有在具有tenant=manning标签的命名空间中运行的pod可以访问该微服务
        matchLabels:
          tenant: manning
    ports:
    - port: 80

  以上NetworkPolicy保证了只有具有tenant=manning标签的命名空间中运行的pod可以访问Shopping Cart微服务,如图13.5所示。

Kubernetes隔离pod的网络_客户端_02

  如果shopping cart服务的提供者需要允许其他租户(可能是他们的合作公司)访问该服务,他们可以创建一个新的NetworkPolicy资源,或者在之前的Networkpolicy中添加一条入向规则。

  注意:在多租户的Kubernetes集群中,通常租户不能为他们的命名空间添加标签(或注释)。否则,他们可以规避基于namespaceSelector的入向规则。

 

4.使用CIDR隔离网络

  除了通过在pod选择器或命名空间选择器定义哪些pod可以访问NetworkPolicy资源中指定的目标pod,还可以通过CIDR表示法指定一个IP段。例如,为了允许IP在192.168.1.1到192.168.1.255范围内的客户端访问之前提到的shopping-cart的pod, 可以在入向规则中加入如以下代码清单所示的代码。

#代码13.24 在入向规则中指明IP段:network-policy-cidr.yaml
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: ipblock-netpolicy
spec:
  podSelector:
    matchLabels:
      app: shopping-cart
  ingress:
  - from:
    - ipBlock:                                #这条入向规则来自192.168.1.0/24段的客户端的流量

 

5.限制pod的对外访问流量

  在之前的所有例子中,已经通过入向规则限制了进入pod的访问流量。然而,也可以通过出向规则限制pod的对外访问流量。以下代码清单展示了一个例子。

#代码13.25 在NetworkPolicy中使用出现规则:network-policy-egress.yaml
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: egress-net-policy
spec:
  podSelector:                      #这个策略应用于包含app=webserver标签的pod
    matchLabels:
      app: webserver
  egress:                               #限制pod的出网流量
  - to:
    - podSelector:                  #webserver的pod只能与有app=webserver标签的pod通信
        matchLabels:
          app: database
    ports:
    - port: 5432

  以上的NetworkPolicy仅允许具有标签app=webserver的pod访问具有标签app=database的pod,除此之外不能访问任何地址(不论是其他pod,还是任何其他的IP,无论在集群内部还是外部。

作者:​​小家电维修​

转世燕还故榻,为你衔来二月的花。