OpenShift Security (13) - 用 RHACS 为应用自动生成 NetworkPolicy

NP-Guard 是 IBM 发起的一个开源项目，用来自动创建 Kubernetes (K8s) 的 network policy 以提高云原生应用网络安全。在 RHACS 3.73.1 中内置了 NP-Guard 的核心功能，使用 RHACS的客户端可以对本地目录中的 Service, ConfigMap, Pod, Deployment, ReplicaSet, Job, DaemonSet,

dawnsky.liu

530人浏览 · 2023-01-05 12:30:14

dawnsky.liu · 2023-01-05 12:30:14 发布

《OpenShift / RHEL / DevSecOps / Ansible 汇总目录》
说明：本文已经在 OpenShift 4.12 + RHACS 3.73.1 环境中验证

什么是 NP-Guard

NP-Guard 是 IBM 发起的一个开源项目，用来自动创建 Kubernetes (K8s) 的 network policy 以提高云原生应用网络安全。在 RHACS 3.73.1 中内置了 NP-Guard 的核心功能，使用 RHACS 的客户端可以对本地目录中的 Service, ConfigMap, Pod, Deployment, ReplicaSet, Job, DaemonSet, 和 StatefulSet 的 manifest 进行自动分析，并生成最小范围的 NetworkPolicy 配置。

用 NP-Guard 自动生成 NetworkPolicy

先下载 3.73.1 以后版本的 RHACS 客户端 roxctl

$ curl -O https://mirror.openshift.com/pub/rhacs/assets/3.73.1/bin/Linux/roxctl
$ chmod +x roxctl

下载测试资源，然后再创建 frontend.yaml 和 backend.yaml 中的资源。

$ git clone https://github.com/stackrox/stackrox.git
$ oc new-project np-demo
$ oc apply -f stackrox/tests/roxctl/bats-tests/test-data/np-guard/scenario-minimal-service/frontend.yaml
$ oc apply -f stackrox/tests/roxctl/bats-tests/test-data/np-guard/scenario-minimal-service/backend.yaml

在 RHACS 的 Network Graph 中确认此时的 frontend 和 backend 是没有 NetworkPolicy 的。
运行命令分析上面 2 个文件，并在 np.yaml 文件中生成 NetworkPlolicy。

$ roxctl generate netpol stackrox/tests/roxctl/bats-tests/test-data/np-guard/scenario-minimal-service --output-file=np.yaml
$ more np.yaml
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  creationTimestamp: null
  name: backend-netpol
spec:
  ingress:
  - from:
    - podSelector:
        matchLabels:
          app: frontend
    ports:
    - port: 9090
      protocol: TCP
  podSelector:
    matchLabels:
      app: backendservice
  policyTypes:
  - Ingress
  - Egress
status: {}

---
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  creationTimestamp: null
  name: frontend-netpol
spec:
  egress:
  - ports:
    - port: 9090
      protocol: TCP
    to:
    - podSelector:
        matchLabels:
          app: backendservice
  - ports:
    - port: 53
      protocol: UDP
  ingress:
  - ports:
    - port: 8080
      protocol: TCP
  podSelector:
    matchLabels:
      app: frontend
  policyTypes:
  - Ingress
  - Egress
status: {}

---
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  creationTimestamp: null
  name: default-deny-in-namespace
spec:
  podSelector: {}
  policyTypes:
  - Ingress
  - Egress
status: {}

运行命创建 NetworkPolicy。

$ oc apply -f np.yaml

在 RHACS 的 Network Graph 中确认此时的 frontend 和 backend 已经有 NetworkPolicy 了，并且是允许从 frontend 访问 backend。

参考

https://github.com/np-guard/cluster-topology-analyzer/tree/main/tests

K8S/Kubernetes

K8S/Kubernetes社区为您提供最前沿的新闻资讯和知识内容

更多推荐

【深度】阿里巴巴万级规模 K8s 集群全局高可用体系之美

作者 | 韩堂、柘远、沉醉来源 | 阿里巴巴云原生公众号前言台湾作家林清玄在接受记者采访的时候，如此评价自己 30 多年写作生涯：“第一个十年我才华横溢，‘贼光闪现’，令周边黯然失色；第二个十年，我终于‘宝光现形’，不再去抢风头，反而与身边的美丽相得益彰；进入第三个十年，繁华落尽见真醇，我进入了‘醇光初现’的阶段，真正体味到了境界之美”。长夜有穷，真水无香。领略过了 K8s“身在江

K8S/Kubernetes

如何基于 K8s 构建下一代 DevOps 平台？

作者 | 孙健波（天元）导读：当前云原生 DevOps 体系现状如何？面临哪些挑战？如何通过 OAM 解决云原生 DevOps 场景下的诸多问题？云原生开发应用模型 OAM(Open Application Model) 社区核心成员孙健波将为大家一一解答，并分享如何基于 OAM 和 Kubernetes 打造无限能力的下一代 DevOps 平台。什么是 DevOps？为什么基于 Kub