docker筆記32-k8s基於canal的網路策略

czxin788發表於2018-10-01
Docker筆記K8S

    安裝文件:

    我們知道flannel只能提供網路通訊,而不能提供網路策略。因此,我們本節學習canal,讓它來提供網路策略,來配合flannel使用。

前提條件

    1、kubelet必須配置為CNI網路外掛(即--network-plugin-cni,預設新版本預設就是CNI)

    2、kube-proxy必須以iptables模式啟動,不能以ipvs方式啟動;

    3、kube-proxy不能以--masquerade-all方式啟動,因為這和calico策略衝突;

    4、k8s版本至少要v1.3.0

部署canal

1、 

[root@master ~]# kubectl apply -f 

2、 

[root@master ~]# kubectl apply -f 

3、 

[root@master ~]# kubectl get pods -n kube-system -o wide
NAME                                   READY     STATUS    RESTARTS   AGE       IP             NODE
canal-7q4k7                            3/3       Running   0          4m        172.16.1.101   node1
canal-dk2tc                            3/3       Running   0          4m        172.16.1.102   node2
canal-zr8l4                            3/3       Running   0          4m        172.16.1.100   master

    看到每個pod上都有3個容器,這三個容器有各自不同的功能。

    

    Egres:出站,表示pod自己是客戶端,訪問別人。

    Ingress:入站,表示Pod自己是目標,別人來訪問自己。

    通常,客戶端的埠是隨機的,服務端的埠是固定的。

    Network Policy:用來控制哪個pod來和外部或內部進行通訊。

    podSelecto:pod選擇器

    policyTypes:用來控制Ingres和Egres哪個生效。

  例子

    建立兩個名稱空間,一個是測試,一個是生產。 

[root@master ~]# kubectl create namespace dev
namespace/dev created
[root@master ~]# kubectl create namespace prod
namespace/prod created

    建立網路策略: 

[root@master ~]# mkdir networkpolicy
[root@master ~]# cd networkpolicy/
[root@master networkpolicy]# vim ingress-def.yaml
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: deny-all-ingress
spec:
  podSelector: {} #pod選擇器設定為空,表示選擇所有pod,即控制整個名稱空間
  policyTypes: 
  - Ingress #表示只對ingress生效,但是我們上面又把podSelector設定為空,表示預設是ingress拒絕所有的
    #但是我們這裡面又沒有加egress,所以預設egress是允許所有的

[root@master networkpolicy]# kubectl apply -f ingress-def.yaml -n dev  #-n表示只對哪個名稱空間生效
networkpolicy.networking.k8s.io/deny-all-ingress created

[root@master networkpolicy]# kubectl get netpol -n dev
NAME               POD-SELECTOR   AGE
deny-all-ingress   <none>         1m

    建立個容器,放在dev名稱空間裡面: 

[root@master networkpolicy]# cat pod-a.yaml
apiVersion: v1
kind: Pod
metadata:
  name: pod1
spec:
  containers:
  - name: myapp
    image: ikubernetes/myapp:v1

[root@master networkpolicy]# kubectl apply -f pod-a.yaml -n dev
pod/pod1 created

root@master networkpolicy]# kubectl get pods -n dev -o wide
NAME      READY     STATUS    RESTARTS   AGE       IP           NODE
pod1      1/1       Running   0          1m        10.244.2.2   node2

[root@master networkpolicy]# curl   10.244.2.2 #看到我們在宿主機上訪問不到dev名稱空間裡面的pod10.244.2.2,這是因為dev名稱空間裡面有個deny-all-ingress網路策略,拒絕任何入站請求導致的。

    接下來我們在prod名稱空間裡面建立個pod: 

[root@master networkpolicy]#  kubectl apply -f pod-a.yaml  -n prod
pod/pod1 created

[root@master networkpolicy]# kubectl get pods -n prod -o wide
NAME      READY     STATUS    RESTARTS   AGE       IP           NODE
pod1      1/1       Running   0          1m        10.244.2.3   node2

[root@master networkpolicy]# curl 10.244.2.4 #我們看到在宿主機上可以訪問到prod名稱空間裡面的pod
Hello MyApp | Version: v1 | <a href="hostname.html">Pod Name</a>

[root@master networkpolicy]# cat ingress-def.yaml 
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: deny-all-ingress
spec:
  podSelector: {} #pod選擇器設定為空,表示選擇所有pod,即控制整個名稱空間
  ingress:
  - {} #空表示允許所有入站訪問
  policyTypes:
  - Ingress #表示只對ingress生效
    #但是我們這裡面又沒有加egress,所以預設egress是允許所有的

[root@master networkpolicy]# kubectl apply -f ingress-def.yaml -n dev
networkpolicy.networking.k8s.io/deny-all-ingress configured

[root@master networkpolicy]# curl 10.244.2.2 #這時我們就能在宿主機上訪問到dev名稱空間裡面的容器了
Hello MyApp | Version: v1 | <a href="hostname.html">Pod Name</a>

    我們接下來再還原會原來的網路策略,即拒絕入所有入站請求: 

[root@master networkpolicy]# cat ingress-def.yaml 
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: deny-all-ingress
spec:
  podSelector: {} #pod選擇器設定為空,表示選擇所有pod,即控制整個名稱空間
  policyTypes:
  - Ingress #表示只對ingress生效
    #但是我們這裡面又沒有加egress,所以預設egress是允許所有的

[root@master networkpolicy]# kubectl apply -f ingress-def.yaml -n dev
networkpolicy.networking.k8s.io/deny-all-ingress unchanged

[root@master networkpolicy]# curl 10.244.2.2 #發現在宿主機上又不能訪問訪問到dev裡面的pod了

        下面我們給dev名稱空間裡面的pod1打個標籤叫app=myapp 

[root@master networkpolicy]# kubectl label pods pod1 app=myapp -n dev
pod/pod1 labeled

[root@master networkpolicy]# cat allow-netpol-demo.yaml 
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-myapp-ingress
spec:
  podSelector:
    matchLabels:
      app: myapp
  ingress: #入站
  - from:
    - ipBlock:
        cidr: 10.244.0.0/16 #指定網段,允許從10.244.0.0/16入站到pod裡面
        except:
        - 10.244.1.2/32 #排除這個地址
    ports:
    - protocol: TCP
      port: 80

[root@master networkpolicy]# kubectl apply -f allow-netpol-demo.yaml -n dev
networkpolicy.networking.k8s.io/allow-myapp-ingress created

[root@master networkpolicy]# kubectl get netpol -n dev
NAME                  POD-SELECTOR   AGE
allow-myapp-ingress   app=myapp      1m
deny-all-ingress      <none>         5h

[root@master networkpolicy]# curl 10.244.2.2 #看到加了allow-myapp-ingress網路策略後,立即就能訪問dev裡面的pod了
Hello MyApp | Version: v1 | <a href="hostname.html">Pod Name</a>

    上面我們介紹了ingress入站規則,下面我們介紹egress出站規則。 

[root@master networkpolicy]# cat egress-def.yaml
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: deny-all-egress
spec:
  podSelector: {} #pod選擇器設定為空,表示選擇所有pod,即控制整個名稱空間
  policyTypes:
  - Egress #表示只對egress生效

[root@master networkpolicy]# kubectl apply -f egress-def.yaml -n prod
networkpolicy.networking.k8s.io/deny-all-egress created

[root@master ~]# kubectl get pods -n kube-system -o wide
NAME                                   READY     STATUS    RESTARTS   AGE       IP             NODE
canal-7q4k7                            3/3       Running   0          6h        172.16.1.101   node1
canal-dk2tc                            3/3       Running   0          6h        172.16.1.102   node2
canal-zr8l4                            3/3       Running   0          6h        172.16.1.100   master
coredns-78fcdf6894-2l2cf               1/1       Running   18         24d       10.244.0.46    master
coredns-78fcdf6894-dkkfq               1/1       Running   17         24d       10.244.0.45    master
etcd-master                            1/1       Running   18         24d       172.16.1.100   master
kube-apiserver-master                  1/1       Running   19         24d       172.16.1.100   master
kube-controller-manager-master         1/1       Running   18         24d       172.16.1.100   master
[root@master networkpolicy]# kubectl get pods -n prod
NAME      READY     STATUS    RESTARTS   AGE
pod1      1/1       Running   0          1h
[root@master networkpolicy]# kubectl exec pod1 -it  -n prod -- /bin/sh
/ # ping 10.244.0.45  #看到ping其他名稱空間的容器被拒絕,這就是因為網路策略deny-all-egress起的作用,它表示拒絕容器所有出口流量
PING 10.244.0.45 (10.244.0.45): 56 data bytes

[root@master networkpolicy]# cat egress-def.yaml 
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: deny-all-egress
spec:
  podSelector: {} #pod選擇器設定為空,表示選擇所有pod,即控制整個名稱空間
  egress:
  - {} #表示允許所有egress出去的流量
  policyTypes:
  - Egress #表示只對egress生效

[root@master networkpolicy]# kubectl apply -f egress-def.yaml -n prod

[root@master networkpolicy]# kubectl exec pod1 -it  -n prod -- /bin/sh #看到放行出站後,容器就可以ping通外部的容器了
/ # ping 10.244.0.45
PING 10.244.0.45 (10.244.0.45): 56 data bytes
64 bytes from 10.244.0.45: seq=0 ttl=62 time=0.227 ms
64 bytes from 10.244.0.45: seq=1 ttl=62 time=0.284 ms

    我們為了更安全,我們可以設定每個名稱空間拒絕所有入站,拒絕所有出站,然後再單獨放行。不過,這樣也出現一個問題,就是一個名稱空間中,所有pod之間也不能通訊了。所以還要加條策略就是允許本名稱空間中的pod之間可以互相通訊(放行所有出站目標本名稱空間內的所有pod),但是不允許和外部名稱空間之間進行通訊。

    




  

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/28916011/viewspace-2215383/,如需轉載,請註明出處,否則將追究法律責任。

相關文章