举例:Network Policies
2021-02-11 08:19
标签:nginx from end 文档 访问 通信 插件 pen 声明 本文描述了如何在 Kubernetes 集群中通过创建 NetworkPolicy 的方式来声明网络策略,以管理 Pod 之间的网络通信流量。 您已经安装了 Kubernetes 集群,如果没有,请参考文档 安装Kubernetes单Master节点 您可以使用 kubectl 访问您的集群,请参考文档 安装Kubectl 请确保您使用的网络插件支持 Network Policy,如下的网络插件都是可以的: 如果您按照 安装Kubernetes单Master节点 安装的集群,默认是 calico 网络插件 Cilium Kube-routerRomanaWeave Net 排序 按字母顺序排序,不代表推荐顺序。本文中的例子对上述所有网络插件都有效 输出结果 通过Service暴露该Deployment 输出结果 查询结果 输出结果 默认是可以从另外一个Pod访问 在 请按照下面的例子,在命令行中执行 下面的 执行命令以创建该 NetworkPolicy: 输出结果如下: 如果从不带标签的 Pod 访问该 nginx 服务,请求将超时: 请按照下面的例子在命令行中执行 从带有 请按照下面的例子在命令行中执行 举例:Network Policies 标签:nginx from end 文档 访问 通信 插件 pen 声明 原文地址:https://www.cnblogs.com/sanduzxcvbnm/p/13042700.html
前提条件
创建一个Deployment并配置Service
nginx
Deployment 用于演示 Kubernetes 的 NetworkPolicy:kubectl create deployment nginx --image=nginx
deployment.apps/nginx created
kubectl expose deployment nginx --port=80
service/nginx exposed
kubectl get svc,pod
NAME CLUSTER-IP EXTERNAL-IP PORT(S) AGE
service/kubernetes 10.100.0.1
从另外一个pod访问Service
nginx
Service 的。下面的方法可以执行此测试:default
名称空间中创建 busybox 容器,并执行 wget
命令:kubectl run --generator=run-pod/v1 busybox --rm -ti --image=busybox -- /bin/sh
wget --spider --timeout=1 nginx
Waiting for pod default/busybox-472357175-y0m47 to be running, status is Pending, pod ready: false
Hit enter for command prompt
/ # wget --spider --timeout=1 nginx
Connecting to nginx (10.100.0.16:80)
remote file exists
/ #
限制对nginx的访问
NetworkPolicy
可以声明:只有带 access=true
标签的 Pod 可以访问 nginx
服务:
network-policy.yaml文件内容apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: access-nginx
spec:
podSelector:
matchLabels:
app: nginx
ingress:
- from:
- podSelector:
matchLabels:
access: "true"
kubectl apply -f network-policy.yaml
networkpolicy.networking.k8s.io/access-nginx created
从不带标签的Pod访问nginx服务
kubectl run --generator=run-pod/v1 busybox --rm -ti --image=busybox -- /bin/sh
wget --spider --timeout=1 nginx
Waiting for pod default/busybox-472357175-y0m47 to be running, status is Pending, pod ready: false
Hit enter for command prompt
/ # wget --spider --timeout=1 nginx
Connecting to nginx (10.100.0.16:80)
wget: download timed out
/ #
从带有标签的Pod访问nginx服务
access=true
标签的 Pod 中访问 nginx 服务,将能够执行成功:kubectl run --generator=run-pod/v1 busybox --rm -ti --labels="access=true" --image=busybox -- /bin/sh
wget --spider --timeout=1 nginx
Waiting for pod default/busybox-472357175-y0m47 to be running, status is Pending, pod ready: false
Hit enter for command prompt
/ # wget --spider --timeout=1 nginx
Connecting to nginx (10.100.0.16:80)
remote file exists
/ #
上一篇:HTML之网页基本标签