14-Flannel网络插件网路策略配置 - 橙子柠檬's Blog-的个人博客

网络插件

一般网络策略：
名称空间，拒绝所有出站，入站，放行所有出站目标本名称空间内的所有Pod

Docker 四种网络模型

bridge
joined
open
none

Kubernetes 网络通信
1、容器间通信
2、POD通信
3、POD与Service通信
4、Service 与集群

CNI 网络插件

提供网络分配功能

flannel
calico
canel
kube-router

kubernetes网络解决方案：

虚拟网桥
多路复用：MacVLAN
硬件交换：SR-IOV （单根IO虚拟化）

网络插件配置文件目录 /etc/cni/net.d/

Flannel 支持多种后端
VxLAN

vxlan (隧道叠加网络通信+L3)
Directrouting （直接路由）
host-ge: Host Gateway （同一个网段）
UDP

Flannel 配置

kubectl get configmap -n kube-system

 kubectl get configmap -n kube-system
kubectl get configmap kube-flannel-cfg -o json -n kube-system

Network:flannel 使用CIDR格式的网络地址，用于为POD配置网络功能

10.244.0.0/16

SubnetLen:把Network切分子网供各节点使用时，使用多少的掩码切分，默认为24位

SubnetMin: 10.244.10.0/24
SubnetMax 10.244.100.0./24

Backend: 使用什么方式作为POD后端通信

vxlan
host-gw
udp

方法1：

vim flannet.json

{
 "Network": "10.244.0.0/16""
  "Bacend": {
    "Type": "vxlan",
    "Directrouting": "true"
    }
}

方法2：

改初始安装Flannel时候的yaml,卸载重新安装

验证:
ip route show

Calico 网络策略

kubectl explain networkpolicy.spec
kubectl explain networkpolicy.spec.ingress
kubectl get netpolicy -n xxx

Ingress 进方向规则
Egress 出方向规则
policyTypes 默认存在什么就生效

配置拒绝所有入站例子

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metedata:
  name: deny-all-ingress
  namespace: dev
spec:
  podSelector: {}
  policyTypes:
  - Ingress

配置允许所有入站例子

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metedata:
  name: all-ingress
  namespace: dev
spec:
  podSelector: {}
   ingress: 
  - {}
  policyTypes:
  - Ingress

配置特定网段进站，特定IP允许进站规则例子

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metedata:
  name: allow-myapp-ingress
  namespace: dev
spec:
  podSelector: {}
    matchLabels:
        app: myapp
  ingress:
   - from:
     - ipBlock:
         cidr: 10.244.0.0/16
        except:
        - 10.244.1.2/32
    ports:
    - protocol: TCP
      port: 80
    ports:
    - protocol: TCP
      port: 443

配置禁止所有出站规则例子

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metedata:
  name: deny-all-Egress
  namespace: dev
spec:
  podSelector: {}
  policyTypes:
  - Egress

配置禁止所有出站规则例子

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metedata:
  name: deny-all-Egress
  namespace: dev
spec:
  podSelector: {}
  policyTypes:
  - Egress

配置允许所有出站规则例子

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metedata:
  name: deny-all-Egress
  namespace: dev
spec:
  podSelector: {}
  - {}
  policyTypes:
  - Egress