kubernetes中NetworkPolicy有什么用

小编给大家分享一下kubernetes中NetworkPolicy有什么用，希望大家阅读完这篇文章之后都有所收获，下面让我们一起去探讨吧！

一： 简介
 1.Kubernetes的一个重要特性就是要把不同node节点的pod连接起来，无视物理节点的限制。但是在某些应用环境中，比如公有云，不同租户的pod不应该互通，这个时候就需要网络隔离。幸好，Kubernetes提供了NetworkPolicy，支持按Namespace级别的网络隔离。Network Policy提供了基于策略的网络控制，用于隔离应用并减少攻击面。它使用标签选择器模拟传统的分段网络，并通过策略控制它们之间的流量以及来自外部的流量。

 2.Kubernetes提供了NetworkPolicy，支持按Namespace和按Pod级别的网络访问控制。它利用label指定namespaces或pod，底层用iptables实现。不是所有的 Kubernetes 网络方案都支持 Network Policy。比如 Flannel 就不支持，Calico 是支持的。

3.

 a.通过kubectl client创建network policy资源；
 b.calico的policy-controller监听network policy资源，获取到后写入calico的etcd数据库；
 c.node上calico-felix从etcd数据库中获取policy资源，调用iptables做相应配置。

二： NetworkPolicy 资源配置

1. apiVersion: networking.k8s.io/v1
   

2. kind: NetworkPolicy
   

3. metadata:
   

4.   name: test-network-policy
   

5.   namespace: default
   

6. spec:
   

7.   podSelector:
   

8.     matchLabels:
   

9.       role: db
   

10.   ingress:
    

11.   - from:
    

12.     - namespaceSelector:
    

13.         matchLabels:
    

14.           project: myproject
    

15.     - podSelector:
    

16.         matchLabels:
    

17.           role: frontend
    

18.     ports:
    

19.     - protocol: tcp
    

20.       port: 6379

podSelector：每个 NetworkPolicy 包含一个 podSelector，它可以选择一组应用了网络策略的 Pod。由于 NetworkPolicy 当前只支持定义 ingress 规则，这个 podSelector 实际上为该策略定义了一组 “目标Pod”。示例中的策略选择了标签为 “role=db” 的 Pod。一个空的 podSelector 选择了该 Namespace 中的所有 Pod。

2.ingress：每个NetworkPolicy 包含了一个白名单 ingress 规则列表。每个规则只允许能够匹配上 from 和 ports配置段的流量。示例策略包含了单个规则，它从这两个源中匹配在单个端口上的流量，第一个是通过namespaceSelector 指定的，第二个是通过 podSelector 指定的。

3. 在 “default” Namespace中 隔离了标签 “role=db” 的 Pod（如果他们还没有被隔离）； 在 “default” Namespace中，允许任何具有 “role=frontend” 的 Pod，连接到标签为 “role=db” 的 Pod 的 TCP 端口 6379；允许在 Namespace 中任何具有标签 “project=myproject” 的 Pod，连接到 “default” Namespace 中标签为 “role=db” 的 Pod 的 TCP 端口 6379。

三：默认策略
1.通过创建一个可以选择所有 Pod 但不允许任何流量的 NetworkPolicy，你可以为一个 Namespace 创建一个 “默认的” 隔离策略。

1. apiVersion: networking.k8s.io/v1
   

2. kind: NetworkPolicy
   

3. metadata:
   

4.   name: default-deny
   

5. spec:
   

6.   podSelector:

在 Namespace 中，如果你想允许所有的流量进入到所有的 Pod（即使已经添加了某些策略，使一些 Pod 被处理为 “隔离的”），你可以通过创建一个策略来显式地指定允许所有流量。

1. apiVersion: networking.k8s.io/v1
   

2. kind: NetworkPolicy
   

3. metadata:
   

4.   name: allow-all
   

5. spec:
   

6.   podSelector:
   

7.   ingress:
   

8.   - {}

看完了这篇文章，相信你对“kubernetes中NetworkPolicy有什么用”有了一定的了解，如果想了解更多相关知识，欢迎关注编程网精选频道，感谢各位的阅读！