文档首页 > > 用户指南> 网络管理> NetworkPolicy

NetworkPolicy

分享
更新时间:2020/09/18 GMT+08:00

什么是网络策略(NetworkPolicy)

随着业务逻辑的复杂化,越来越多的应用需要大量模块之间的网络调用。传统的单一外部防火墙,或依照应用分层的防火墙已渐渐无法满足需求。在一个大的集群里面,各模块、业务逻辑层,或各职能团队之间的网络策略需求越来越强。

CCE基于Kubernetes的网络策略功能进行了加强,通过配置网络策略,允许在同个集群内实现网络的隔离,也就是可以在某些实例(Pod)之间架起防火墙。

使用场景例如:某个用户有支付系统,且严格要求只能某几个组件能访问该支付系统,否则有被攻破的安全风险,通过配置网络策略可免除该风险。

约束与限制

  • VPC网络模型暂不支持网络策略(NetworkPolicy)。
  • 网络策略(NetworkPolicy)暂不支持设置egress路由规则。
  • v1.13及v1.15版本的容器隧道网络类型的集群,节点操作系统内核为Centos时,如果使用NetworkPolicy请升级openvswitch的版本,升级方法请参考操作系统内核升级

使用说明

若工作负载(例如名称为workload1)未配置网络策略,那“当前集群内的其它工作负载”都可以访问“名为workload1的工作负载”

设置网络策略

  1. 登录CCE控制台,在左侧导航栏中选择“资源管理 > 网络管理”。在NetworkPolicy页签,单击“添加NetworkPolicy”

    • NetworkPolicy名称:自定义输入NetworkPolicy名称。
    • 集群名称:选择网络策略所在集群。
    • 命名空间:选择网络策略所在命名空间。
    • 关联工作负载:

      单击“选择工作负载”,选择“需要设置网络策略的工作负载”,例如工作负载名称为workload-1,单击“确定”

    • 规则:单击“添加规则”,参数设置请参见表1
      表1 添加规则

      参数

      参数说明

      方向

      当前仅支持入方向。即“其它工作负载”访问“当前的工作负载(即当前案例中的workload-1)”

      协议

      请选择对应的协议类型。

      目的容器端口

      容器镜像中应用程序实际监听端口,需用户确定。nginx程序实际监听的端口为80。

      若不填写容器端口,默认所有端口都可被访问。

      远端

      选择可访问“当前工作负载”“其它工作负载”。通过目的容器端口来访问。

      • 命名空间:若选择某个命名空间,则该命名空间下的所有工作负载都会加入白名单,即都可访问workload-1
      • 工作负载:若选择某个工作负载,即该工作负载可以访问workload-1。仅支持选择与workload-1同个命名空间下的“其它工作负载”

  2. 设置完成后,单击“创建”
  3. 若需要为当前工作负载添加更多网络策略,例如其它端口需要被某个工作负载访问,可单击“添加NetworkPolicy”,继续添加更多策略。

    创建成功后,“仅远端中配置好的命名空间或工作负载”可以访问“当前工作负载”

分享:

    相关文档

    相关产品

文档是否有解决您的问题?

提交成功!非常感谢您的反馈,我们会继续努力做到更好!
反馈提交失败,请稍后再试!

*必选

请至少选择或填写一项反馈信息

字符长度不能超过200

提交反馈 取消

如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨

智能客服提问云社区提问