[[436076]]

在你通過 Kubernetes 部署一個應用之前，了解 Kubernetes 的網絡策略是一個基本的要求。

隨著越來越多的云原生應用程序通過 Kubernetes 部署到生產環境，安全性是你必須在早期就需要考慮的一個重要檢查項。在設計云原生應用程序時，預先嵌入安全策略非常重要。不這樣做會導致后續的安全問題，從而導致項目延遲，并最終給你帶來不必要的壓力和金錢投入。

這么多年來，人們總是把安全留到最后，直到他們的部署即將發布到生產環境時才考慮安全。這種做法會導致項目交付的延遲，因為每個組織都有要遵守的安全標準，這些規定被繞過或不遵守，并承受大量的風險才得以實現可交付成果。

對于剛開始學習 Kubernetes 實施的人來說，理解 Kubernetes 網絡策略NetworkPolicy 可能會令人生畏。但這是在將應用程序部署到 Kubernetes 集群之前必須了解的基本要求之一。在學習 Kubernetes 和云原生應用程序時，請把“不要把安全拋在腦后！”定為你的口號。

NetworkPolicy 概念

網絡策略NetworkPolicy 取代了你所知道的數據中心環境中的防火墻設備 —— 如吊艙Pod之于計算實例、網絡插件之于路由器和交換機，以及卷之于存儲區域網絡（SAN）。

默認情況下，Kubernetes 網絡策略允許 吊艙Pod 從任何地方接收流量。如果你不擔心吊艙的安全性，那么這可能沒問題。但是，如果你正在運行關鍵工作負載，則需要保護吊艙。控制集群內的流量（包括入口和出口流量），可以通過網絡策略來實現。

要啟用網絡策略，你需要一個支持網絡策略的網絡插件。否則，你應用的任何規則都將變得毫無用處。

Kubernetes.io 上列出了不同的網絡插件：

• CNI 插件：遵循 容器網絡接口Container Network Interface（CNI）規范，旨在實現互操作性。
  • Kubernetes 遵循 CNI 規范的 v0.4.0 版本。
• Kubernetes 插件：使用橋接器和主機本地 CNI 插件實現基本的 cbr0。

應用網絡策略

要應用網絡策略，你需要一個工作中的 Kubernetes 集群，并有支持網絡策略的網絡插件。

但首先，你需要了解如何在 Kubernetes 的環境使用網絡策略。Kubernetes 網絡策略允許 吊艙 從任何地方接收流量。這并不是理想情況。為了吊艙安全，你必須了解吊艙是可以在 Kubernetes 架構內進行通信的端點。

1、使用 podSelector 進行吊艙間的通信：

 - namespaceSelector:
    matchLabels:
      project: myproject 

2、使用 namespaceSelector 和/或 podSelector 和 namespaceSelector 的組合進行命名空間之間的通信和命名空間到吊艙的通信。：

 - namespaceSelector:
    matchLabels:
      project: myproject
 - podSelector:
    matchLabels:
      role: frontend 

3、對于吊艙的 IP 塊通信，使用 ipBlock 定義哪些 IP CIDR 塊決定源和目的。

 - ipBlock:
        cidr: 172.17.0.0/16
        except:
        - 172.17.1.0/24 

注意吊艙、命名空間和基于 IP 的策略之間的區別。對于基于吊艙和命名空間的網絡策略，使用選擇器來控制流量，而對基于 IP 的網絡策略，使用 IP 塊（CIDR 范圍）來定義控制。

把它們放在一起，一個網絡策略應如下所示：

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: test-network-policy
  namespace: default
spec:
  podSelector:
    matchLabels:
      app: backend
  policyTypes:
  - Ingress
  - Egress
  ingress:
  - from:
    - ipBlock:
        cidr: 172.17.0.0/16
        except:
        - 192.168.1.0/24
    - namespaceSelector:
        matchLabels:
          project: myproject
    - podSelector:
        matchLabels:
          role: frontend
    ports:
    - protocol: TCP
      port: 6379
  egress:
  - to:
    - ipBlock:
        cidr: 10.0.0.0/24
    ports:
    - protocol: TCP
      port: 5978

參考上面的網絡策略，請注意 spec 部分。在此部分下，帶有標簽 app=backend 的 podSelector 是我們的網絡策略的目標。簡而言之，網絡策略保護給定命名空間內稱為 backend 的應用程序。

此部分也有 policyTypes 定義。此字段指示給定策略是否適用于選定吊艙的入口流量、選定吊艙的出口流量，或兩者皆有。

spec:
  podSelector:
    matchLabels:
      app: backend
  policyTypes:
  - Ingress
  - Egress

現在，請看 Ingress（入口）和 Egress（出口）部分。該定義規定了網絡策略的控制。

首先，檢查 ingress from 部分。

此實例中，網絡策略允許從以下位置進行吊艙連接：

• ipBlock
  • 允許 172.17.0.0/16
  • 拒絕 192.168.1.0/24
• namespaceSelector
  • myproject: 允許來自此命名空間并具有相同標簽 project=myproject 的所有吊艙。
• podSelector
  • frontend: 允許與標簽 role=frontend 匹配的吊艙。

ingress:
 - from:
  - ipBlock:
      cidr: 172.17.0.0/16
      except:
      - 192.168.1.0/24
  - namespaceSelector:
      matchLabels:
        project: myproject
  - podSelector:
      matchLabels:
        role: frontend
 

現在，檢查 egress to 部分。這決定了從吊艙出去的連接：

• ipBlock
  • 10.0.0.0/24: 允許連接到此 CIDR
  • Ports: 允許使用 TCP 和端口 5978 進行連接

egress:
 - to:
  - ipBlock:
      cidr: 10.0.0.0/24
  ports:
  - protocol: TCP
    port: 5978
 

網絡策略的限制

僅靠網絡策略無法完全保護你的 Kubernetes 集群。你可以使用操作系統組件或 7 層網絡技術來克服已知限制。你需要記住，網絡策略只能解決 IP 地址和端口級別的安全問題 —— 即開放系統互聯（OSI）中的第 3 層或第 4 層。

為了解決網絡策略無法處理的安全要求，你需要使用其它安全解決方案。以下是你需要知道的一些 用例，在這些用例中，網絡策略需要其他技術的增強。

總結

了解 Kubernetes 的網絡策略很重要，因為它是實現（但不是替代）你通常在數據中心設置中使用的防火墻角色的一種方式，但適用于 Kubernetes。將此視為容器安全的第一層，僅僅依靠網絡策略并不是一個完整的安全解決方案。

網絡策略使用選擇器和標簽在吊艙和命名空間上實現安全性。此外，網絡策略還可以通過 IP 范圍實施安全性。

充分理解網絡策略是在 Kubernetes 環境中安全采用容器化的一項重要技能。