TungstenFabric與K8s集成指南丨創(chuàng)建安全策略-創(chuàng)新互聯(lián)

作者：吳明秘

成都創(chuàng)新互聯(lián)公司服務(wù)項(xiàng)目包括槐蔭網(wǎng)站建設(shè)、槐蔭網(wǎng)站制作、槐蔭網(wǎng)頁制作以及槐蔭網(wǎng)絡(luò)營銷策劃等。多年來，我們專注于互聯(lián)網(wǎng)行業(yè)，利用自身積累的技術(shù)優(yōu)勢、行業(yè)經(jīng)驗(yàn)、深度合作伙伴關(guān)系等，向廣大中小型企業(yè)、政府機(jī)構(gòu)等提供互聯(lián)網(wǎng)行業(yè)的解決方案，槐蔭網(wǎng)站推廣取得了明顯的社會效益與經(jīng)濟(jì)效益。目前，我們服務(wù)的客戶以成都為中心已經(jīng)輻射到槐蔭省份的部分城市，未來相信會繼續(xù)擴(kuò)大服務(wù)區(qū)域并繼續(xù)獲得客戶的支持與信任！

Hi！歡迎來到Tungsten Fabric與Kubernetes集成指南系列，本文介紹如何創(chuàng)建安全策略。Tungsten Fabric與K8s集成指南系列文章，由TF中文社區(qū)為您呈現(xiàn)，旨在幫助大家了解Tungsten Fabric與K8s集成的基礎(chǔ)知識。大家在相關(guān)部署中有什么經(jīng)驗(yàn)，或者遇到的問題，歡迎與我們聯(lián)系。

安全策略可以通過限制端口、網(wǎng)絡(luò)協(xié)議等方式控制任意pod之間的訪問，以及pod與service之間的訪問。在K8s集群中安全策略對應(yīng)的是Network Policy，在Tungsten Fabric中安全策略對應(yīng)的Firewall Rule，兩者是會實(shí)時(shí)同步的。

pod之間的訪問控制

安全策略的控制是全局的，跨命名空間，跨network，所以創(chuàng)建策略的時(shí)候要盡可能詳細(xì)地指定此端到彼端的一些參數(shù)，包括端口、命名空間、IP地址段等等。

根據(jù)第二章節(jié)的信息，可以知道目前有——

兩個(gè)命名空間：test-ns1 test-ns2

三個(gè)network：k8s-ns1-pod-net01 k8s-ns1-pod-net02 k8s-ns2-pod-net01

四個(gè)pod：
nginx01-ns1-net01
nginx01-ns1-net02
nginx01-ns2-net01
nginx02-ns2-net01

而k8s-ns1-pod-net01與k8s-ns1-pod-net02已經(jīng)互通（通過新建TF router連通），k8s-ns1-pod-net01 與k8s-ns2-pod-net01已經(jīng)互通（通過TF Network Policy連通）。

首先，新增一條默認(rèn)禁止訪問策略，禁止任何流量訪問test-ns1的pod，配置如下：
Tungsten Fabric與K8s集成指南丨創(chuàng)建安全策略

#pod選擇器設(shè)置為空，表示選擇所有pod，即控制整個(gè)命名空間。
#只寫了ingress生效，又把podSelector設(shè)置為空，表示拒絕其它命名空間訪問，拒絕所有入站請求。
#沒有加egress，所以默認(rèn)egress是允許本命名空間所有pod出站。

創(chuàng)建策略后，驗(yàn)證從test-ns2的k8s-ns2-pod-net01網(wǎng)絡(luò)是否能訪問到test-ns1的k8s-ns1-pod-net01網(wǎng)絡(luò)。

驗(yàn)證過程如下圖所示，首先從test-ns2的pod去ping test-ns1的pod是可以通的，但是在創(chuàng)建了Network Policy之后，就無法ping通了，說明Network Policy限制了從其他地方的流量去訪問test-ns1的pod，而即使是test-ns1內(nèi)部的pod都無法相互訪問。