この章では、知識のポイントについて説明します
-
- ネットワーク ポリシー ネットワークの原則
-
- NetworkPolicy リソースの概要
1. ネットワーク ポリシーのネットワーク原則
Kubernetes では、コンテナー間の接続がネットワーク モデルの焦点ですが、同時に、コンテナー間の分離も同様に重要です。Kubernetes のネットワーク ソリューションは「分離」をどのように考慮していますか? Kubernetes は、ネットワークの「マルチテナンシー」のニーズをどのように考慮していますか。Kubernetes ネットワーク ソリューションでは、コンテナー間の分離を実現するために、NetworkPolicyという特別な API オブジェクトが導入されています。このオブジェクトは、マルチテナンシーのニーズを満たすためにコンテナー間のネットワーク分離を記述するメカニズムを提供します。
NetworkPolicy は Kubernetes のネットワーク ポリシー オブジェクトであり、Pod または Namespace 間のネットワーク通信を制限して、ネットワークの分離とアドミッション コントロールを実現するために使用されます。このポリシー オブジェクトは、クエリ条件 (ラベルなど) に従って、クライアント Pod リストへのアクセスを許可または禁止できます。現在、クエリ条件は Pod レベルと Namespace レベルの両方で使用できます。ただし、リソース オブジェクトはポリシー ルールを構成するだけであり、特定のポリシー ルールを実装するにはポリシー コントローラーが必要です。Calico、Weave Net などのサードパーティ ネットワーク コンポーネントは、NetworkPolicy を実装するためのポリシー コントローラーを提供します。
ネットワーク ポリシーの動作原理は次のとおりです。ポリシー コントローラーは API リスナーを実装し、ユーザーが設定した NetworkPolicy 定義をリッスンし、実際に各ノードのエージェントを介してネットワーク アクセス ルールを設定する必要があります (エージェントを実装する必要があります)。 CNI ネットワーク プラグイン経由