8.3 KiB
你需要了解的关于 Kubernetes 网络策略 的信息
在你通过 Kubernetes 部署一个应用之前,了解 Kubernetes 网络策略 是一个基本的要求。
随着越来越多的云原生应用程序通过 Kubernetes 部署到生产环境,安全性是你必须在早期就需要考虑的一个重要检查项。在设计云原生应用程序时,预先嵌入安全策略非常重要。不这样做会导致后续的安全问题,从而导致项目延迟,并最终给你带来不必要的压力和金钱投入。
多年来,人们在最后还是没有实现安全--直到他们的部署即将发布到生产环境。这种做法会导致项目交付的延迟,因为每个组织都有要遵守的安全标准,这些标准要么被绕过,要么没有遵循许多公认的风险来交付项目。
对于刚开始学习 Kubernetes 实现的来龙去脉的人来说,了解 Kubernetes 网络策略 可能会令人生畏。但这是在将应用程序部署到 Kubernetes 集群之前必须了解的基本要求之一。在学习 Kubernetes 和云原生应用程序时,请记住“不要把安全抛在脑后!”。
NetworkPolicy 概念
NetworkPolicy 取代了数据中心环境中的防火墙设备--作为计算实例的 Pod、路由器和交换机的网络插件以及存储区域网络(SAN)的卷。
默认情况下,Kubernetes NetworkPolicy 允许 Pod 从任何地方接收流量。如果你不担心 Pod 的安全性,那么这可能没问题。但是,如果你正在运行关键工作负载,则需要保护 Pod。控制集群内的流量(包括入口和出口流量),可以通过 NetworkPolicy 实现。
要启用网络策略,你需要一个支持网络策略的网络插件。否则,你应用的任何规则都将变得毫无用处。
Kubernetes.io 上列出了不同的网络插件:
- CNI 插件:遵循容器网络接口(CNI)规范,旨在实现互操作性。
- Kubernetes 遵循 CNI 规范的 v0.4.0 版本。
- Kubernetes 插件:使用桥接器和主机本地 CNI 插件实现基本的
cbr0。
应用网络策略
要应用网络策略,你需要一个具有支持 NetworkPolicy 的网络插件的工作 Kubernetes 集群。
但首先,你需要了解如何在 Kubernetes 的上下文中使用 NetworkPolicy。Kubernetes NetworkPolicy 允许 Pod 从任何地方接收流量。这并不是理想情况。为了 Pod 安全性,你必须了解 Pod 是可以在 Kubernetes 架构内进行通信的端点。
- 使用
podSelector进行 Pod 到 Pod 的通信。
- namespaceSelector:
matchLabels:
project: myproject
- 使用
namespaceSelector和/或podSelector和namespaceSelector的组合进行命名空间到命名空间通信和命名空间到 Pod 通信。
- namespaceSelector:
matchLabels:
project: myproject
- podSelector:
matchLabels:
role: frontend
- IP 阻止 Pod 之间的通信使用
ipBlock,通过定义IP CIDR来指定源和目的地。
- ipBlock:
cidr: 172.17.0.0/16
except:
- 172.17.1.0/24
请注意 Pod、命名空间和基于 IP 的策略之间的区别。对于基于 Pod 和命名空间的 NetworkPolicy,使用选择器来控制流量,而对基于 IP 的 NetworkPolicy,使用 IP blocks(CIDR 范围)定义控制。
把它们放在一起,一个 NetworkPolicy 应如下所示:
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: test-network-policy
namespace: default
spec:
podSelector:
matchLabels:
app: backend
policyTypes:
- Ingress
- Egress
ingress:
- from:
- ipBlock:
cidr: 172.17.0.0/16
except:
- 192.168.1.0/24
- namespaceSelector:
matchLabels:
project: myproject
- podSelector:
matchLabels:
role: frontend
ports:
- protocol: TCP
port: 6379
egress:
- to:
- ipBlock:
cidr: 10.0.0.0/24
ports:
- protocol: TCP
port: 5978
参考上面的 NetworkPolicy,请注意 spec 部分。在此部分下,带有标签 app=backend 的 podSelector 是我们 NetworkPolicy 的目标。简而言之,NetworkPolicy 保护给定命名空间内称为后端的应用程序。
此部分也有 policyTypes 定义。此字段指示给定策略是否适用于选定 Pod 的入口流量、选定 Pod 的出口流量,或两者皆有。
spec:
podSelector:
matchLabels:
app: backend
policyTypes:
- Ingress
- Egress
现在,请看 ingress 和 egress 部分。该定义规定了 NetworkPolicy 的控制。
首先,检查 ingress from 部分。
此实例中,网络策略允许从以下位置进行 Pod 连接:
ipBlock- 允许 172.17.0.0/16
- 拒绝 192.168.1.0/24
namespaceSelectormyproject: 允许来自此命名空间并具有相同标签 project=myproject 的所有 Pod。
podSelectorfrontend: 允许与标签 role=frontend 匹配的 Pod。
ingress:
- from:
- ipBlock:
cidr: 172.17.0.0/16
except:
- 192.168.1.0/24
- namespaceSelector:
matchLabels:
project: myproject
- podSelector:
matchLabels:
role: frontend
现在,检查 egress to 部分。这决定了从 pod 出去的连接:
ipBlock- 10.0.0.0/24: 允许连接到此 CIDR
- Ports: 允许使用 TCP 和端口 5978 进行连接
egress:
- to:
- ipBlock:
cidr: 10.0.0.0/24
ports:
- protocol: TCP
port: 5978
NetworkPolicy 限制
仅靠 NetworkPolicy 无法完全保护你的 Kubernetes 集群。你可以使用操作系统组件或 7 层网络技术来克服已知限制。你需要记住,NetworkPolicy 只能解决 IP 地址和端口级别的安全问题--即开放系统互联(OSI)中的第 3 层或第 4 层。
为了解决 NetworkPolicy 无法处理的安全要求,你需要使用其它安全解决方案。以下是一些你需要了解 NetworkPolicy 需要其它技术增强的用例。
总结
了解 Kubernetes NetworkPolicy 很重要,因为它是实现(但不是替代)你通常在数据中心设置中使用的防火墙角色的一种方式,但适用于 Kubernetes。将此视为容器安全的第一层,仅仅依靠 NetworkPolicy 并不是一个完整的安全解决方案。
NetworkPolicy 使用选择器和标签在 Pod 和命名空间上实现安全性。此外,NetworkPolicy 还可以通过 IP 范围强制实施安全性。
充分理解 NetworkPolicy 是在 Kubernetes 环境中安全采用容器化的一项重要技能。
via: https://opensource.com/article/21/10/kubernetes-networkpolicy
作者:Mike Calizo 选题:lujun9972 译者:perfiffer 校对:校对者ID