OpenShift 4 之通过设置SDN的NetworkPolicy定义Pod访问策略

NetworkPolicy简介

NetworkPolicy是Kubernetes和OpenShift定义通过网络访问Pod的安全策率，利用它可以在不通的Project和Pod之间定义细粒度的应用访问策率。
在NetworkPolicy中以白名单的方式定义了针对“XXX项目”的“XXXPod”可以让“XXX项目”的“XXXPod”通过“XXX方式”访问，不在白名单都无法进行访问。

应用环境和测试方法

部署测试应用

创建如下资源：

$ oc new-project project1
$ oc label namespace project1 name=project1
$ oc new-project project2
$ oc label namespace project2 name=project2
$ oc new-project project3
$ oc label namespace project3 name=project3
$ oc new-app -n project1 openshiftroadshow/parksmap --name=web-db
$ oc new-app -n project1 openshiftroadshow/parksmap --name=web
$ oc new-app -n project1 openshiftroadshow/parksmap --name=db
$ oc new-app -n project1 openshiftroadshow/parksmap --name=mail
$ oc new-app -n project1 openshiftroadshow/parksmap --name=foobar
$ oc new-app -n project1 openshiftroadshow/parksmap --name=foo
$ oc new-app -n project1 openshiftroadshow/parksmap --name=bar
$ oc new-app -n project1 openshiftroadshow/parksmap --name=api
$ oc new-app -n project1 openshiftroadshow/parksmap --name=monitoring
$ oc new-app -n project2 openshiftroadshow/parksmap --name=project2-app
$ oc new-app -n project3 openshiftroadshow/parksmap --name=project3-app

测试验证

通过以下方法验证可从应用的Pod中访问到同一项目或不同项目的应用Service地址。以下是从project2-app2的Pod通过Service的CLUSTER-IP访问project1-app1和project1-app2的Pod的说明。

$ oc get svc -n project1
NAME    TYPE        CLUSTER-IP       EXTERNAL-IP   PORT(S)             AGE
web     ClusterIP   172.30.144.211   <none>        8080/TCP            2m8s
db     	ClusterIP   172.30.33.82     <none>        8080/TCP            2m4s
$ oc get pod -n project2 | grep Running
NAME                       READY   STATUS      RESTARTS   AGE
project2-app-1-l7jqd      1/1     Running     0          102s
$ oc rsh project2-app-1-l7jqd
sh-4.2$ curl 172.30.144.211:8080
sh-4.2$ curl 172.30.33.82:8080

NetworkPolicy策率

拒绝所有Pod直接访问

1. 创建以下内容的deny-all.yaml

kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
  name: deny-all
spec:
  podSelector:
  ingress: []

2. 将deny-all.yaml的NetworkPolicy策略实施于project1。注意：为了不相互影响，需要将其它策率删除。

$ oc create -f deny-all.yaml -n project1

3. 通过“测试验证”步骤确认已经无法从任何项目的其它Pod中访问了project1-app1的Service了。

在这里插入代码片

允许来自相同项目的Pod访问

1. 创建以下内容的allow-same-namespace.yaml。

kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
  name: allow-same-namespace
spec:
  podSelector:
  ingress:
  - from:
    - podSelector: {}

2. 将allow-same-namespace.yaml的NetworkPolicy策略实施于project1。注意：为了不相互影响，需要将其它策率删除。

$ oc create -f allow-same-namespace.yaml -n project1

3. 通过“测试验证”步骤确认只能从project1的Pod访问project1-app1的Service了。

允许来自相同项目的指定Pod访问

1. 创建以下内容的allow-some-app.yaml。

kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
  name: allow-mail-access-db
spec:
  podSelector:
    matchLabels:
      app: mail
  ingress:
    - from:
        - podSelector:
            matchLabels:
              app: mail

2. 将allow-some-app.yaml的NetworkPolicy策略实施于project1。注意：为了不相互影响，需要将其它策率删除。

$ oc create -f allow-mail-access-db -n project1

3. 通过“测试验证”步骤确认只能从mail访问db的Service了。

允许从其他项目访问

1. 创建以下内容的allow-from-other-namespace.yaml。

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-from-other-namespace
spec:
  podSelector:
    matchLabels:
      app: web-db
  ingress:
    - from:
        - namespaceSelector: {}

2. 将allow-some-app.yaml的NetworkPolicy策略实施于project1。注意：为了不相互影响，需要将其它策率删除。

$ oc create -f allow-from-other-namespace.yaml -n project1

3. 通过“测试验证”步骤确认只能从其它项目的Pod访问web-db的Service了。

允许从指定的项目访问

1. 创建以下内容的allow-from-other-project.yaml。

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-from-other-project
spec:
  podSelector:
    matchLabels:
      app: web
  ingress:
    - from:
        - namespaceSelector:
            matchLabels:
              name: project2

2. 将allow-from-other-project.yaml的NetworkPolicy策略实施于project1。注意：为了不相互影响，需要将其它策率删除。

$ oc create -f allow-from-other-project.yaml -n project1

3. 通过“测试验证”步骤确认只能从project2项目的Pod访问project1项目web的Service了。

允许从指定项目的指定Pod访问

1. 创建以下内容的allow-other-project-pod.yaml。

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-other-project-pod
spec:
  podSelector:
    matchLabels:
      app: db
  ingress:
    - from:
        - namespaceSelector:
            matchLabels:
              project: project2
          podSelector:
            matchLabels:
              app: mail

注意：以上代码的namespaceSelector和podSelecto是“并且”的关系。而以下代码namespaceSelector和podSelecto是“或者”的关系。

    - from:
        - namespaceSelector:
            matchLabels:
              project: project2
        - podSelector:
            matchLabels:
              app: mail

2. 将allow-other-project-pod.yaml的NetworkPolicy策略实施于project1。注意：为了不相互影响，需要将其它策率删除。

$ oc create -f allow-other-project-pod.yaml -n project1

3. 通过“测试验证”步骤确认只能从project2项目中mail的Pod访问project1项目web的Service了。

从指定的端口访问

1. 创建以下内容的allow-port.yaml。

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-port
spec:
  podSelector:
    matchLabels:
      app: api
  ingress:
    - from:
        - podSelector:
            matchLabels:
              app: monitoring
      ports:
        - protocol: TCP
          port: 80
        - protocol: TCP
          port: 443

2. 将allow-port.yaml的NetworkPolicy策略实施于project1。注意：为了不相互影响，需要将其它策率删除。

$ oc create -f allow-port.yaml -n project1

混合策率

如果一个Pod被不同的NetworkPolicy定义了访问策率，则这些访问策率的全集适用于这个Pod。

其它参考

• https://kubernetes.io/docs/concepts/services-networking/network-policies/
• https://blog.openshift.com/whats-new-in-openshift-3-5-network-policy-tech-preview/