Alauda Container Platform
Русский

Создание сетевых политик

INFO

Платформа теперь предоставляет два разных интерфейса для работы с сетевыми политиками. Старый интерфейс поддерживается для совместимости, а новый более гибкий и включает встроенный YAML-редактор. Рекомендуется использовать новую версию.

Пожалуйста, свяжитесь с администратором платформы, чтобы включить feature gate network-policy-next для доступа к новому интерфейсу.

NetworkPolicy — это ресурс Kubernetes с областью видимости в пределах namespace, реализуемый плагинами CNI.
С помощью сетевых политик можно контролировать сетевой трафик Pod’ов, обеспечивая сетевую изоляцию и снижая риск атак.

По умолчанию все Pod’ы могут свободно обмениваться трафиком, разрешая входящий и исходящий трафик из любых источников.
При применении NetworkPolicy целевые Pod’ы будут принимать только трафик, соответствующий спецификации.

WARNING

Сетевые политики применяются только к трафику контейнеров. Они не влияют на Pod’ы, работающие в режиме hostNetwork.

Пример NetworkPolicy:

# example-network-policy.yaml
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: example
  namespace: demo-1
  annotations:
    cpaas.io/display-name: test
spec:
  podSelector:
    matchLabels:
      pod-template-hash: 55c84b59bb
  ingress:
    - ports:
        - protocol: TCP
          port: 8989
      from:
        - podSelector:
            matchLabels:
              kubevirt.io/vm: test
  egress:
    - ports:
        - protocol: TCP
          port: 80
      to:
        - ipBlock:
            cidr: 192.168.66.221/23
            except: []
  policyTypes:
    - Ingress
    - Egress
  1. from и to поддерживают namespaceSelector, podSelector, ipBlock

Содержание

Создание NetworkPolicy через веб-консоль

  1. Войдите в Container Platform.

  2. В левой навигационной панели выберите Network > Network Policies.

  3. Нажмите Create Network Policy.

  4. Следуйте инструкциям ниже для заполнения соответствующих параметров.

ОбластьПараметрОписание
Целевой PodВыбор PodВведите метки целевых Pod в формате ключ-значение; если не указано, политика применяется ко всем Pod в текущем namespace.
Предварительный просмотр целевых Pod, затронутых текущей политикойНажмите Preview, чтобы увидеть целевые Pod, на которые влияет данная сетевая политика.
IngressБлокировать весь входящий трафикБлокирует весь входящий трафик к целевому Pod.

Примечание:
  • Если в поле spec.policyTypes в YAML добавлен Ingress без настройки конкретных правил, при возврате к форме опция Блокировать весь входящий трафик будет автоматически установлена.
  • Если одновременно удалить поля spec.ingress, spec.egress и spec.policyTypes в YAML, при возврате к форме опция Блокировать весь входящий трафик также будет автоматически установлена.
Правила

Описание: Если в правилах добавлено несколько источников, между ними действует логическое ИЛИ.		Pod’ы в текущем namespaceСоответствуют Pod’ам с указанными метками в текущем namespace; только такие Pod могут обращаться к целевому Pod. Можно нажать Preview, чтобы увидеть Pod’ы, затронутые текущим правилом. Если этот параметр не настроен, по умолчанию все Pod’ы в текущем namespace имеют доступ к целевому Pod.
Pod’ы в текущем кластереСоответствуют namespace или Pod’ам с указанными метками в кластере; только такие Pod могут обращаться к целевому Pod. Можно нажать Preview, чтобы увидеть Pod’ы, затронутые текущим правилом.
  • Если настроены и селекторы namespace, и Pod, будет взято пересечение — то есть выбраны Pod с указанными метками из указанного namespace.
  • Если этот параметр не настроен, по умолчанию все Pod’ы из всех namespace в кластере имеют доступ к целевому Pod.
IP-диапазонВведите CIDR, который может обращаться к целевому Pod, и можно исключить CIDR-диапазоны, которым доступ запрещён. Если этот параметр не настроен, любой трафик может обращаться к целевому Pod.

Описание: Можно добавить исключения в формате example_ip/32 для исключения отдельного IP-адреса.
ПортСоответствует трафику на указанных протоколах и портах; можно добавить числовые порты или имена портов на Pod’ах. Если этот параметр не настроен, будут соответствовать все порты.
EgressБлокировать весь исходящий трафикБлокирует весь исходящий трафик от целевого Pod.

Примечание:
  • Если в поле spec.policyTypes в YAML добавлен Egress без настройки конкретных правил, при возврате к форме опция Блокировать весь исходящий трафик будет автоматически установлена.
Другие параметрыАналогично параметрам Ingress, здесь не приводится подробное описание.
  1. Нажмите Create.

Создание NetworkPolicy через CLI

kubectl apply -f example-network-policy.yaml

Справка

Для получения дополнительной информации ознакомьтесь с официальной документацией по Network Policies.

Просмотреть полную документацию в формате PDF