TungstenFabric與K8s集成指南丨創(chuàng)建安全策略

作者：吳明秘

創(chuàng)新互聯(lián)專(zhuān)注為客戶(hù)提供全方位的互聯(lián)網(wǎng)綜合服務(wù)，包含不限于網(wǎng)站制作、成都網(wǎng)站制作、南召網(wǎng)絡(luò)推廣、小程序開(kāi)發(fā)、南召網(wǎng)絡(luò)營(yíng)銷(xiāo)、南召企業(yè)策劃、南召品牌公關(guān)、搜索引擎seo、人物專(zhuān)訪、企業(yè)宣傳片、企業(yè)代運(yùn)營(yíng)等，從售前售中售后，我們都將竭誠(chéng)為您服務(wù)，您的肯定，是我們最大的嘉獎(jiǎng)；創(chuàng)新互聯(lián)為所有大學(xué)生創(chuàng)業(yè)者提供南召建站搭建服務(wù)，24小時(shí)服務(wù)熱線：18980820575，官方網(wǎng)址：m.rwnh.cn

Hi！歡迎來(lái)到Tungsten Fabric與Kubernetes集成指南系列，本文介紹如何創(chuàng)建安全策略。Tungsten Fabric與K8s集成指南系列文章，由TF中文社區(qū)為您呈現(xiàn)，旨在幫助大家了解Tungsten Fabric與K8s集成的基礎(chǔ)知識(shí)。大家在相關(guān)部署中有什么經(jīng)驗(yàn)，或者遇到的問(wèn)題，歡迎與我們聯(lián)系。

安全策略可以通過(guò)限制端口、網(wǎng)絡(luò)協(xié)議等方式控制任意pod之間的訪問(wèn)，以及pod與service之間的訪問(wèn)。在K8s集群中安全策略對(duì)應(yīng)的是Network Policy，在Tungsten Fabric中安全策略對(duì)應(yīng)的Firewall Rule，兩者是會(huì)實(shí)時(shí)同步的。

pod之間的訪問(wèn)控制

安全策略的控制是全局的，跨命名空間，跨network，所以創(chuàng)建策略的時(shí)候要盡可能詳細(xì)地指定此端到彼端的一些參數(shù)，包括端口、命名空間、IP地址段等等。

根據(jù)第二章節(jié)的信息，可以知道目前有——

兩個(gè)命名空間：test-ns1 test-ns2

三個(gè)network：k8s-ns1-pod-net01 k8s-ns1-pod-net02 k8s-ns2-pod-net01

四個(gè)pod：
nginx01-ns1-net01
nginx01-ns1-net02
nginx01-ns2-net01
nginx02-ns2-net01

而k8s-ns1-pod-net01與k8s-ns1-pod-net02已經(jīng)互通（通過(guò)新建TF router連通），k8s-ns1-pod-net01 與k8s-ns2-pod-net01已經(jīng)互通（通過(guò)TF Network Policy連通）。

首先，新增一條默認(rèn)禁止訪問(wèn)策略，禁止任何流量訪問(wèn)test-ns1的pod，配置如下：
Tungsten Fabric與K8s集成指南丨創(chuàng)建安全策略

#pod選擇器設(shè)置為空，表示選擇所有pod，即控制整個(gè)命名空間。
#只寫(xiě)了ingress生效，又把podSelector設(shè)置為空，表示拒絕其它命名空間訪問(wèn)，拒絕所有入站請(qǐng)求。
#沒(méi)有加egress，所以默認(rèn)egress是允許本命名空間所有pod出站。

創(chuàng)建策略后，驗(yàn)證從test-ns2的k8s-ns2-pod-net01網(wǎng)絡(luò)是否能訪問(wèn)到test-ns1的k8s-ns1-pod-net01網(wǎng)絡(luò)。

驗(yàn)證過(guò)程如下圖所示，首先從test-ns2的pod去ping test-ns1的pod是可以通的，但是在創(chuàng)建了Network Policy之后，就無(wú)法ping通了，說(shuō)明Network Policy限制了從其他地方的流量去訪問(wèn)test-ns1的pod，而即使是test-ns1內(nèi)部的pod都無(wú)法相互訪問(wèn)。