网络策略(NetworkPolicy)是 Kubernetes 提供的一种资源,提供基于策略的网络控制。如果您希望在 IP 地址或端口层面(OSI 三层或四层)控制网络流量,您可以针对集群内特定应用采用网络策略。
背景介绍
随着业务逻辑的复杂化,传统的单一外部防火墙或依照应用分层的防火墙已逐渐无法满足需求。
LHC 基于 Kubernetes 网络策略功能作了增强,通过配置网络策略,允许在集群内实现网络隔离,也就是可以在多组 Pod 之间架起防火墙。
基本原理
NetworkPolicy 会应用在与其相匹配的 PodSelector 的 Pod 上,基于入向(Ingress) 或出向(Egress)规则指定允许访问这些 Pod 的源地址或这些 Pod 可以访问的目标地址。
Ingress 和 Egress 这两种规则可匹配由 PodSelector 选出的 Pod 或命名空间内的所有 Pod,或者通过 CIDR 指定的 IP 地址段。
说明
Ingress:入方向流量规则,用于配置访问服务的源地址或端口白名单。
Egress:出方向流量规则,用于配制 Pod 访问外部服务的目的地址或端口白名单。
相关文档
关于 Kubernetes NetworkPolicy 的更多信息,请参见 Kubernetes 官方文档。
NetworkPolicy 具体操作可参考 管理 NetworkPolicy。
文档内容是否对您有帮助?