第 6 章 使用 OpenShift SDN 配置网络策略


6.1. 关于网络策略

在使用支持 Kubernetes 网络策略的 Kubernetes Container Network Interface (CNI) 插件的集群中,网络隔离完全由 NetworkPolicy 对象控制。在 OpenShift Container Platform 4.2 中,OpenShift SDN 支持在默认的网络隔离模式中使用 NetworkPolicy。

注意

OpenShift Container Platform 中提供了 Kubernetes v1 NetworkPolicy 功能,但 Egress 策略类型和 IPBlock 除外。

警告

网络策略不适用于主机网络命名空间。启用主机网络的 Pod 不受 NetworkPolicy 对象规则的影响 。

默认情况下,项目中的所有 Pod 都可被其他 Pod 和网络端点访问。要在一个项目中隔离一个或多个 Pod,您可以在该项目中创建 NetworkPolicy 对象来指示允许的入站连接。项目管理员可以在自己的项目中创建和删除 NetworkPolicy 对象。

如果一个 Pod 由一个或多个 NetworkPolicy 对象中的选择器匹配,那么该 Pod 将只接受至少被其中一个 NetworkPolicy 对象所允许的连接。未被任何 NetworkPolicy 对象选择的 Pod 可以完全访问。

以下示例 NetworkPolicy 对象演示了支持不同的情景:

  • 拒绝所有流量:

    要使项目默认为拒绝流量,请添加一个匹配所有 Pod 但不接受任何流量的 NetworkPolicy 对象:

    kind: NetworkPolicy
    apiVersion: networking.k8s.io/v1
    metadata:
      name: deny-by-default
    spec:
      podSelector:
      ingress: []
  • 只允许 OpenShift Container Platform Ingress Controller 的连接:

    要使项目只允许 OpenShift Container Platform Ingress Controller 的连接,请添加以下 NetworkPolicy 对象:

    apiVersion: networking.k8s.io/v1
    kind: NetworkPolicy
    metadata:
      name: allow-from-openshift-ingress
    spec:
      ingress:
      - from:
        - namespaceSelector:
            matchLabels:
              network.openshift.io/policy-group: ingress
      podSelector: {}
      policyTypes:
      - Ingress

    如果 Ingress Controller 配置了endpointPublishingStrategy: HostNetwork,则 Ingress Controller Pod 在主机网络中运行。在主机网络中运行时,来自 Ingress Controller 的网络流量会被分配 netid:0 Virtual Network ID (VNID) 。与 Ingress Operator 关联的命名空间的 netid 不同,因此 allow-from-openshift-ingress 中的 matchLabel 网络策略与 default Ingress Controller 的流量不匹配。因为 default 命名空间被分配了 netid:0 VNID,所以可以通过把 default 命名空间标记(label)为 network.openshift.io/policy-group: ingress 来允许来自于 default Ingress Controller 的网络流量。

  • 只接受项目中 Pod 的连接:

    要使 Pod 接受同一项目中其他 Pod 的连接,但拒绝其他项目中所有 Pod 的连接,请添加以下 NetworkPolicy 对象:

    kind: NetworkPolicy
    apiVersion: networking.k8s.io/v1
    metadata:
      name: allow-same-namespace
    spec:
      podSelector:
      ingress:
      - from:
        - podSelector: {}
  • 只允许基于 Pod 标签的 HTTP 和 HTTPS 流量:

    要对带有特定标签(以下示例中的 role=frontend)的 Pod 仅启用 HTTP 和 HTTPS 访问,请添加类似如下的 NetworkPolicy 对象:

    kind: NetworkPolicy
    apiVersion: networking.k8s.io/v1
    metadata:
      name: allow-http-and-https
    spec:
      podSelector:
        matchLabels:
          role: frontend
      ingress:
      - ports:
        - protocol: TCP
          port: 80
        - protocol: TCP
          port: 443
  • 使用命名空间和 Pod 选择器接受连接:

    要通过组合使用命名空间和 Pod 选择器来匹配网络流量,您可以使用类似如下的一个 NetworkPolicy 对象:

    kind: NetworkPolicy
    apiVersion: networking.k8s.io/v1
    metadata:
      name: allow-pod-and-namespace-both
    spec:
      podSelector:
        matchLabels:
          name: test-pods
      ingress:
        - from:
          - namespaceSelector:
              matchLabels:
                project: project_name
            podSelector:
              matchLabels:
                name: test-pods

NetworkPolicy 对象是可添加的;也就是说,您可以组合多个 NetworkPolicy 对象来满足复杂的网络要求。

例如,对于以上示例中定义的 NetworkPolicy 对象,您可以在同一个项目中定义 allow-same-namespaceallow-http-and-https 策略。因此,允许带有标签 role=frontend 的 Pod 接受每一策略所允许的任何连接。即,任何端口上来自同一命名空间中 Pod 的连接,以及端口 80443 上来自任意命名空间中 Pod 的连接。

Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.