k8s中限制不同命名空间下的pod之间的网络策略

定制一个名为np的新NetworkPolicy，限制Namespace space1中的所有Pod只能向Namespace space2中的Pod发出流量。定制一个名为np的新NetworkPolicy，限制Namespace space2中的所有Pod只能从Namespace space1中的Pod传入流量。通过定制NetworkPolicy，限制不同命名空间下的pod之间的网络策略。创建spa

Bob drudgery

1381人浏览 · 2022-08-09 18:13:35

Bob drudgery · 2022-08-09 18:13:35 发布

通过定制NetworkPolicy，限制不同命名空间下的pod之间的网络策略

在Namespace space1和space2中有现有的Pod。

controlplane $ k get po -n space1
NAME     READY   STATUS    RESTARTS   AGE
app1-0   1/1     Running   0          29m
controlplane $ k get po -n space2
NAME              READY   STATUS    RESTARTS   AGE
microservice1-0   1/1     Running   0          29m
microservice2-0   1/1     Running   0          29m

定制一个名为np的新NetworkPolicy，限制Namespace space1中的所有Pod只能向Namespace space2中的Pod发出流量。

定制一个名为np的新NetworkPolicy，限制Namespace space2中的所有Pod只能从Namespace space1中的Pod传入流量。

网络政策应该仍然允许53端口的TCP和UDP的DNS流量

namespaceSelector对命名空间标签起作用，所以首先我们检查现有的命名空间标签

controlplane $ k get ns --show-labels
NAME              STATUS   AGE   LABELS
default           Active   84d   kubernetes.io/metadata.name=default
kube-node-lease   Active   84d   kubernetes.io/metadata.name=kube-node-lease
kube-public       Active   84d   kubernetes.io/metadata.name=kube-public
kube-system       Active   84d   kubernetes.io/metadata.name=kube-system
space1            Active   31m   kubernetes.io/metadata.name=space1
space2            Active   31m   kubernetes.io/metadata.name=space2

创建space1下的np,定制出口流量，只能将请求发往space2

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: np
  namespace: space1
spec:
  podSelector: {}
  policyTypes:
  - Egress
  egress:
  - to:
     - namespaceSelector:
        matchLabels:
         kubernetes.io/metadata.name: space2
  - ports:
    - port: 53
      protocol: TCP
    - port: 53
      protocol: UDP

创建space2下的np,定制入口流量,只接收处理space1下的请求

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: np
  namespace: space2
spec:
  podSelector: {}
  policyTypes:
  - Ingress
  ingress:
   - from:
     - namespaceSelector:
        matchLabels:
         kubernetes.io/metadata.name: space1

验证

# these should work
k -n space1 exec app1-0 -- curl -m 1 microservice1.space2.svc.cluster.local
k -n space1 exec app1-0 -- curl -m 1 microservice2.space2.svc.cluster.local
k -n space1 exec app1-0 -- nslookup tester.default.svc.cluster.local
k -n kube-system exec -it validate-checker-pod -- curl -m 1 app1.space1.svc.cluster.local

# these should not work
k -n space1 exec app1-0 -- curl -m 1 tester.default.svc.cluster.local
k -n kube-system exec -it validate-checker-pod -- curl -m 1 microservice1.space2.svc.cluster.local
k -n kube-system exec -it validate-checker-pod -- curl -m 1 microservice2.space2.svc.cluster.local
k -n default run nginx --image=nginx:1.21.5-alpine --restart=Never -i --rm  -- curl -m 1 microservice1.space2.svc.cluster.local

K8S/Kubernetes

K8S/Kubernetes社区为您提供最前沿的新闻资讯和知识内容

更多推荐

【深度】阿里巴巴万级规模 K8s 集群全局高可用体系之美

作者 | 韩堂、柘远、沉醉来源 | 阿里巴巴云原生公众号前言台湾作家林清玄在接受记者采访的时候，如此评价自己 30 多年写作生涯：“第一个十年我才华横溢，‘贼光闪现’，令周边黯然失色；第二个十年，我终于‘宝光现形’，不再去抢风头，反而与身边的美丽相得益彰；进入第三个十年，繁华落尽见真醇，我进入了‘醇光初现’的阶段，真正体味到了境界之美”。长夜有穷，真水无香。领略过了 K8s“身在江

K8S/Kubernetes

如何基于 K8s 构建下一代 DevOps 平台？

作者 | 孙健波（天元）导读：当前云原生 DevOps 体系现状如何？面临哪些挑战？如何通过 OAM 解决云原生 DevOps 场景下的诸多问题？云原生开发应用模型 OAM(Open Application Model) 社区核心成员孙健波将为大家一一解答，并分享如何基于 OAM 和 Kubernetes 打造无限能力的下一代 DevOps 平台。什么是 DevOps？为什么基于 Kub