k8s系列---基於canal的網絡策略

文章拷自：http://blog.itpub.net/28916011/viewspace-2215383/ 加上本身遇到的問題簡單記錄

 

安裝文檔：https://docs.projectcalico.org/v3.1/getting-started/kubernetes/installation/flannel

    咱們知道flannel只能提供網絡通信，而不能提供網絡策略。所以，咱們本節學習canal，讓它來提供網絡策略，來配合flannel使用。 

前提條件

    一、kubelet必須配置爲CNI網絡插件（即--network-plugin-cni，默認新版本默認就是CNI） 

    二、kube-proxy必須以iptables模式啓動，不能以ipvs方式啓動； 

    三、kube-proxy不能以--masquerade-all方式啓動，由於這和calico策略衝突； 

    四、k8s版本至少要v1.3.0 

部署canal

一、

[root@master ~]# kubectl apply -f https://docs.projectcalico.org/v3.1/getting-started/kubernetes/installation/hosted/canal/rbac.yaml

　　

二、

[root@master ~]# kubectl apply -f https://docs.projectcalico.org/v3.1/getting-started/kubernetes/installation/hosted/canal/canal.yaml

　　

三、

[root@master ~]# kubectl get pods -n kube-system -o wide
NAME                                   READY     STATUS    RESTARTS   AGE       IP             NODE
canal-7q4k7                            3/3       Running   0          4m        172.16.1.101   node1
canal-dk2tc                            3/3       Running   0          4m        172.16.1.102   node2
canal-zr8l4                            3/3       Running   0          4m        172.16.1.100   master

　　

我這邊部署完成以後，發現flannel的directrouting模式又沒了。而後後面去pod內ping的時候發現跨node節點已經不通了。因而又把flannel刪了重建，最後正常了。很奇怪的現象。還有就是有個最後他媽的卡住了，canal一直不running狀態，node節點磁盤io跑滿了，致使該node上的pod都沒法鏈接。最後重啓該node，就行了。

創建網絡策略：  

[root@master ~]# mkdir networkpolicy
[root@master ~]# cd networkpolicy/
[root@master networkpolicy]# vim ingress-def.yaml
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: deny-all-ingress
spec:
  podSelector: {} #pod選擇器設置爲空，表示選擇全部pod，即控制整個名稱空間
  policyTypes: 
  - Ingress #表示只對ingress生效，可是咱們上面又把podSelector設置爲空，表示默認是ingress拒絕全部的
    #可是咱們這裏面又沒有加egress，因此默認egress是容許全部的

　　

[root@master networkpolicy]# kubectl apply -f ingress-def.yaml -n dev  #-n表示只對哪一個名稱空間生效
networkpolicy.networking.k8s.io/deny-all-ingress created

　　

[root@master networkpolicy]# kubectl get netpol -n dev
NAME               POD-SELECTOR   AGE
deny-all-ingress   <none>         1m

　　

 創建個容器，放在dev名稱空間裏面： 

[root@master networkpolicy]# cat pod-a.yaml
apiVersion: v1
kind: Pod
metadata:
  name: pod1
spec:
  containers:
  - name: myapp
    image: ikubernetes/myapp:v1

　　

[root@master networkpolicy]# kubectl apply -f pod-a.yaml -n dev
pod/pod1 created

　　

root@master networkpolicy]# kubectl get pods -n dev -o wide
NAME      READY     STATUS    RESTARTS   AGE       IP           NODE
pod1      1/1       Running   0          1m        10.244.2.2   node2

　　

[root@master networkpolicy]# curl   10.244.2.2 #看到咱們在宿主機上訪問不到dev名稱空間裏面的pod10.244.2.2，這是由於dev名稱空間裏面有個deny-all-ingress網絡策略，拒絕任何入站請求致使的。

　　

 接下來咱們在prod名稱空間裏面創建個pod： 

[root@master networkpolicy]#  kubectl apply -f pod-a.yaml  -n prod
pod/pod1 created

　　

[root@master networkpolicy]# kubectl get pods -n prod -o wide
NAME      READY     STATUS    RESTARTS   AGE       IP           NODE
pod1      1/1       Running   0          1m        10.244.2.3   node2

　　

[root@master networkpolicy]# curl 10.244.2.4 #咱們看到在宿主機上能夠訪問到prod名稱空間裏面的pod
Hello MyApp | Version: v1 | <a href="hostname.html">Pod Name</a>

　　

[root@master networkpolicy]# cat ingress-def.yaml 
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: deny-all-ingress
spec:
  podSelector: {} #pod選擇器設置爲空，表示選擇全部pod，即控制整個名稱空間
  ingress:
  - {} #空表示容許全部入站訪問
  policyTypes:
  - Ingress #表示只對ingress生效
    #可是咱們這裏面又沒有加egress，因此默認egress是容許全部的

　　

[root@master networkpolicy]# kubectl apply -f ingress-def.yaml -n dev
networkpolicy.networking.k8s.io/deny-all-ingress configured

　　

[root@master networkpolicy]# curl 10.244.2.2 #這時咱們就能在宿主機上訪問到dev名稱空間裏面的容器了
Hello MyApp | Version: v1 | <a href="hostname.html">Pod Name</a>

　　

    咱們接下來再還原會原來的網絡策略，即拒絕入全部入站請求： 

 

[root@master networkpolicy]# cat ingress-def.yaml 
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: deny-all-ingress
spec:
  podSelector: {} #pod選擇器設置爲空，表示選擇全部pod，即控制整個名稱空間
  policyTypes:
  - Ingress #表示只對ingress生效
    #可是咱們這裏面又沒有加egress，因此默認egress是容許全部的

　　

[root@master networkpolicy]# kubectl apply -f ingress-def.yaml -n dev
networkpolicy.networking.k8s.io/deny-all-ingress unchanged

　　

[root@master networkpolicy]# curl 10.244.2.2 #發如今宿主機上又不能訪問訪問到dev裏面的pod了

　　

        下面咱們給dev名稱空間裏面的pod1打個標籤叫app=myapp 

 

[root@master networkpolicy]# kubectl label pods pod1 app=myapp -n dev
pod/pod1 labeled

　　

[root@master networkpolicy]# cat allow-netpol-demo.yaml 
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-myapp-ingress
spec:
  podSelector:
    matchLabels:
      app: myapp
  ingress: #入站
  - from:
    - ipBlock:
        cidr: 10.244.0.0/16 #指定網段，容許從10.244.0.0/16入站到pod裏面
        except:
        - 10.244.1.2/32 #排除這個地址
    ports:
    - protocol: TCP
      port: 80

　　

[root@master networkpolicy]# kubectl apply -f allow-netpol-demo.yaml -n dev
networkpolicy.networking.k8s.io/allow-myapp-ingress created

　　

[root@master networkpolicy]# kubectl get netpol -n dev
NAME                  POD-SELECTOR   AGE
allow-myapp-ingress   app=myapp      1m
deny-all-ingress      <none>         5h

　　

[root@master networkpolicy]# curl 10.244.2.2 #看到加了allow-myapp-ingress網絡策略後，當即就能訪問dev裏面的pod了
Hello MyApp | Version: v1 | <a href="hostname.html">Pod Name</a>

　　

    上面咱們介紹了ingress入站規則，下面咱們介紹egress出站規則。

 

[root@master networkpolicy]# cat egress-def.yaml
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: deny-all-egress
spec:
  podSelector: {} #pod選擇器設置爲空，表示選擇全部pod，即控制整個名稱空間
  policyTypes:
  - Egress #表示只對egress生效

　　

[root@master networkpolicy]# kubectl apply -f egress-def.yaml -n prod
networkpolicy.networking.k8s.io/deny-all-egress created

　　

[root@master ~]# kubectl get pods -n kube-system -o wide
NAME                                   READY     STATUS    RESTARTS   AGE       IP             NODE
canal-7q4k7                            3/3       Running   0          6h        172.16.1.101   node1
canal-dk2tc                            3/3       Running   0          6h        172.16.1.102   node2
canal-zr8l4                            3/3       Running   0          6h        172.16.1.100   master
coredns-78fcdf6894-2l2cf               1/1       Running   18         24d       10.244.0.46    master
coredns-78fcdf6894-dkkfq               1/1       Running   17         24d       10.244.0.45    master
etcd-master                            1/1       Running   18         24d       172.16.1.100   master
kube-apiserver-master                  1/1       Running   19         24d       172.16.1.100   master
kube-controller-manager-master         1/1       Running   18         24d       172.16.1.100   master
[root@master networkpolicy]# kubectl get pods -n prod
NAME      READY     STATUS    RESTARTS   AGE
pod1      1/1       Running   0          1h
[root@master networkpolicy]# kubectl exec pod1 -it  -n prod -- /bin/sh
/ # ping 10.244.0.45  #看到ping其餘名稱空間的容器被拒絕，這就是由於網絡策略deny-all-egress起的做用，它表示拒絕容器全部出口流量
PING 10.244.0.45 (10.244.0.45): 56 data bytes

　　

[root@master networkpolicy]# cat egress-def.yaml 
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: deny-all-egress
spec:
  podSelector: {} #pod選擇器設置爲空，表示選擇全部pod，即控制整個名稱空間
  egress:
  - {} #表示容許全部egress出去的流量
  policyTypes:
  - Egress #表示只對egress生效

　　

[root@master networkpolicy]# kubectl apply -f egress-def.yaml -n prod

　　

[root@master networkpolicy]# kubectl exec pod1 -it  -n prod -- /bin/sh #看到放行出站後，容器就能夠ping通外部的容器了
/ # ping 10.244.0.45
PING 10.244.0.45 (10.244.0.45): 56 data bytes
64 bytes from 10.244.0.45: seq=0 ttl=62 time=0.227 ms
64 bytes from 10.244.0.45: seq=1 ttl=62 time=0.284 ms

　　

 咱們爲了更安全，咱們能夠設置每一個名稱空間拒絕全部入站，拒絕全部出站，而後再單獨放行。不過，這樣也出現一個問題，就是一個名稱空間中，全部pod之間也不能通訊了。因此還要加條策略就是容許本名稱空間中的pod之間能夠互相通訊（放行全部出站目標本名稱空間內的全部pod），可是不容許和外部名稱空間之間進行通訊。