随着业务逻辑的复杂化,越来越多的应用需要大量模块之间的网络调用。传统的单一外部防火墙,或依照应用分层的防火墙已渐渐无法满足需求。在一个大的集群里面,各模块、业务逻辑层,或各职能团队之间的网络策略需求越来越强。
CCE基于Kubernetes的网络策略功能进行了加强,通过配置网络策略,允许在同个集群内实现网络的隔离,也就是可以在某些实例(Pod)之间架起防火墙。
使用场景例如:某个用户有支付系统,且严格要求只能某几个组件能访问该支付系统,否则有被攻破的安全风险,通过配置网络策略可免除该风险。
约束与限制
VPC网络模型暂不支持网络策略(NetworkPolicy)。
网络策略(NetworkPolicy)暂不支持设置egress路由规则。
v1.13及v1.15版本的容器隧道网络类型的集群,节点操作系统内核为Centos时,如果使用NetworkPolicy请升级openvswitch的版本,升级方法请参考操作系统内核升级。
使用说明
若项目(例如名称为workload1)未配置网络策略,那“当前集群内的其它项目”都可以访问“名为workload1的工作负载”。
| 参数 | 参数说明 |
|---|---|
| 方向 | 当前仅支持入方向。即“其它工作负载”访问“当前的工作负载(即当前案例中的workload-1)”。 |
| 协议 | 请选择对应的协议类型。 目的容器端口 容器镜像中应用程序实际监听端口,需用户确定。nginx程序实际监听的端口为80。 若不填写容器端口,默认所有端口都可被访问。 |
| 远端 | 选择可访问“当前工作负载”的“其它工作负载”。通过目的容器端口来访问。 |
| 资源池 | 若选择某个资源池,则该资源池下的所有项目会加入白名单,即都可访问workload-1。 |
| 项目 | 若选择某个项目,即该项目可以访问workload-1。仅支持选择与workload-1同个资源池下的“其它项目”。 |
作者:吴升斌 创建时间:2020-09-15 11:01
最后编辑:吴升斌 更新时间:2025-04-29 18:46
最后编辑:吴升斌 更新时间:2025-04-29 18:46
