AI 助理
备案控制台
开发者社区 云原生 容器服务 文章 正文

给容器服务的Kubernetes集群部署network policy支持

2018-01-04 12579
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
本文涉及的产品
容器镜像服务 ACR,镜像仓库100个 不限时长
简介: 随着使用容器部署微服务的流行,容器平台上的服务间有复杂的调用关系。kubernetes为了满足服务间调用的访问控制,在1.3的版本中便引入了Network Policy,通过它可以实现通过标签方便的去定义访问的策略 。


目前容器服务已经通过Terway网络插件支持了Network Policy,只需要创建集群时选择Terway网络插件就行了: https://help.aliyun.com/document_detail/97467.html

下面是之前通过canal的方式:

随着使用容器部署微服务的流行,容器平台上的服务间有复杂的调用关系。kubernetes为了满足服务间调用的访问控制,在1.3的版本中便引入了Network Policy,通过它可以实现通过标签方便的去定义访问的策略 。

阿里云容器服务在Kubernetes的Flannel网络插件的基础上,配置自研的阿里云VPC驱动为容器提供了高性能的网络方案。

但目前版本的Flannel并未实现Kubernetes的Network Policy,为了让Flannel插件能够满足Network Policy的要求,Calico团队结合Calico中的Felix组件和Flannel驱动构建了Canal驱动,我们本文中就基于Canal在阿里云上部署Network Policy支持,同时也不会造成不必要的性能损失。

在阿里云上创建kubernetes集群

通过控制台可以一键创建出一个云上的Kubernetes集群,如图:

创建好了Kubernetes集群后,我们通过容器服务控制台可以获取到kubectl的连接方式,具体方法可以参考“通过 kubectl 连接 Kubernetes 集群

后续我们的操作都将使用kubectl进行。

卸载默认的flannel网络组件

首先,因为集群中会有正在使用flannel网络的应用,所以我们首先需要把集群中使用flannel网络的应用停止掉,然后再卸载flannel网络组建,这些应用包括:

  • 用户自己部署的应用
  • kubernetes中再flannel网络中的系统应用,包括kubedns, default-http-backend, nginx-ingress-controller, kubernetes-dashboard, heapster, monitoring-influxdb, tiller-deploy

由于kubernetes没有停止应用的选项,只有删除和创建,我们为了保留应用的配置,可以采用把应用的replicas调整成0的方式使应用的实例都“停止”,我们以kubedns为例:

[root@iZbp126bomo449eksjknkeZ ~]# kubectl scale deploy kube-dns --replicas=0 -n kube-system
deployment "kube-dns" scaled
[root@iZbp126bomo449eksjknkeZ ~]# kubectl get deploy kube-dns -n kube-system
NAME       DESIRED   CURRENT   UP-TO-DATE   AVAILABLE   AGE
kube-dns   0         0         0            0           4h

这样就将kube-dns “停止”了,同样的方法可以用于别的系统服务和自己的应用,在部署完成后我们还可以再通过scale的方式将这些应用“启动”回来。

应用都停止完成后,我们将卸载flannel的网络组件,卸载命令如下:

kubectl delete DaemonSet kube-flannel-ds -n kube-system 
kubectl delete ConfigMap kube-flannel-cfg -n kube-system
kubectl delete ServiceAccount flannel -n kube-system
kubectl delete ClusterRoleBinding flannel
kubectl delete ClusterRole flannel

安装支持network policy的Canal网络组件

卸载完默认的flannel的网络组件后,我们来安装支持Network Policy的Canal网络组件,通过kubectl安装Canal的yaml文件:

[root@iZbp126bomo449eksjknkeZ ~]# curl -O http://acs-canal.oss-cn-hangzhou.aliyuncs.com/1.8-aliyun.yaml
[root@iZbp126bomo449eksjknkeZ ~]# vim 1.8-aliyun.yaml #修改其中的CALICO_IPV4POOL_CIDR的环境变量的网段为集群的网段,修改完保存
[root@iZbp126bomo449eksjknkeZ ~]# kubectl apply -f 1.8-aliyun.yaml #安装canal的网络组件

然后查看Canal的状态全都是READY后,说明Canal网络组件部署完成:

[root@iZbp126bomo449eksjknkeZ ~]# kubectl get pod -n kube-system -l k8s-app=canal
NAME          READY     STATUS    RESTARTS   AGE
canal-5tdht   3/3       Running   0          2h
canal-6kxkx   3/3       Running   0          2h
canal-h7gnp   3/3       Running   0          2h
canal-j9lgc   3/3       Running   0          2h
canal-xnwpb   3/3       Running   0          2h

在部署完成后别忘了将之前“停止”的应用再kubectl scale回来呀。

验证network policy的支持

我们使用Kubernetes官方文档中的Policy的实例来演示下:

首先部署并暴露一个nginx服务

我们通过kubectl run创建出一个nginx的deploy,然后用kubectl expose通过service暴露nginx服务。

[root@iZbp126bomo449eksjknkeZ ~]# kubectl run nginx --image=nginx --replicas=2
deployment "nginx" created
[root@iZbp126bomo449eksjknkeZ ~]# kubectl expose deployment nginx --port=80
service "nginx" exposed

等待他们部署完成:

[root@iZbp126bomo449eksjknkeZ ~]# kubectl get svc,pod -l run=nginx
NAME        TYPE        CLUSTER-IP     EXTERNAL-IP   PORT(S)   AGE
svc/nginx   ClusterIP   172.21.0.225           80/TCP    59s

NAME                       READY     STATUS    RESTARTS   AGE
po/nginx-7c87f569d-dhvmw   1/1       Running   0          1m
po/nginx-7c87f569d-xtdxb   1/1       Running   0          1m

在别的容器中测试到nginx服务的访问:

我们通过kubectl run创建出另外一个pod来访问nginx的服务:

[root@iZbp126bomo449eksjknkeZ ~]# kubectl run busybox --rm -ti --image=busybox /bin/sh
If you don't see a command prompt, try pressing enter.
/ # wget --spider --timeout=1 nginx
Connecting to nginx (172.21.0.225:80)
/ #

发现默认情况下是可以访问通的。

通过Network Policy限制对nginx服务的访问

创建一个NetworkPolicy的配置规则,规则中我们通过podSelector描述只有服务access: "true"的label的Pod才能访问的到run:nginx的Pod。

kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
  name: access-nginx
spec:
  podSelector:
    matchLabels:
      run: nginx
  ingress:
  - from:
    - podSelector:
        matchLabels:
          access: "true"
 ```



通过`kubectl create`使NetworkPolicy配置生效:

[root@iZbp126bomo449eksjknkeZ ~]# kubectl create -f policy.yaml networkpolicy 

"access-nginx" created

测试当没定义access的label的Pod去访问nginx服务

[root@iZbp126bomo449eksjknkeZ ~]# kubectl run busybox --rm -ti --image=busybox /bin/sh
If you don't see a command prompt, try pressing enter.
/ # wget --spider --timeout=1 nginx
Connecting to nginx (172.21.0.225:80)
wget: download timed out
/ #

发现访问超时了

测试定义了access的label的Pod去访问nginx服务

[root@iZbp126bomo449eksjknkeZ ~]# kubectl run busybox --rm -ti --labels="access=true" --image=busybox /bin/sh
If you don't see a command prompt, try pressing enter.
/ # wget --spider --timeout=1 nginx
Connecting to nginx (172.21.0.225:80)
/ #

是可以访问的,满足了Kubernetes的NetworkPolicy的定义。

阿里云容器服务提供了托管的Kubernetes集群支持,了解更多阿里云容器服务内容, 请访问https://www.aliyun.com/product/containerservice

文章标签:
容器计算服务
容器服务Kubernetes版
云解析DNS
容器
应用服务中间件
nginx
Kubernetes
canal
关键词:
容器服务Kubernetes版容器
容器容器服务Kubernetes版
容器服务容器服务Kubernetes版
容器服务kubernetes
容器kubernetes
相关实践学习
巧用云服务器ECS制作节日贺卡
本场景带您体验如何在一台CentOS 7操作系统的ECS实例上,通过搭建web服务器,上传源码到web容器,制作节日贺卡网页。
容器应用与集群管理
欢迎来到《容器应用与集群管理》课程,本课程是“云原生容器Clouder认证“系列中的第二阶段。课程将向您介绍与容器集群相关的概念和技术,这些概念和技术可以帮助您了解阿里云容器服务ACK/ACK Serverless的使用。同时,本课程也会向您介绍可以采取的工具、方法和可操作步骤,以帮助您了解如何基于容器服务ACK Serverless构建和管理企业级应用。 学习完本课程后,您将能够: 掌握容器集群、容器编排的基本概念 掌握Kubernetes的基础概念及核心思想 掌握阿里云容器服务ACK/ACK Serverless概念及使用方法 基于容器服务ACK Serverless搭建和管理企业级网站应用
csome
目录
相关文章
阿里云瑶池数据库SelectDB
|
23天前
|
存储 运维 Kubernetes
正式开源,Doris Operator 支持高效 Kubernetes 容器化部署方案
飞轮科技推出了 Doris 的 Kubernetes Operator 开源项目(简称:Doris Operator),并捐赠给 Apache 基金会。该工具集成了原生 Kubernetes 资源的复杂管理能力,并融合了 Doris 组件间的分布式协同、用户集群形态的按需定制等经验,为用户提供了一个更简洁、高效、易用的容器化部署方案。
阿里云瑶池数据库SelectDB
68 16
正式开源,Doris Operator 支持高效 Kubernetes 容器化部署方案
阿里云云原生
|
18天前
|
存储 监控 对象存储
ACK 容器监控存储全面更新:让您的应用运行更稳定、更透明
针对本地存储和 PVC 这两种容器存储使用方式,我们对 ACK 的容器存储监控功能进行了全新升级。此次更新完善了对集群中不同存储类型的监控能力,不仅对之前已有的监控大盘进行了优化,还针对不同的云存储类型,上线了全新的监控大盘,确保用户能够更好地理解和管理容器业务应用的存储资源。
阿里云云原生
67 18
阿里云基础设施.
|
23天前
|
存储 监控 对象存储
ACK容器监控存储全面更新:让您的应用运行更稳定、更透明
介绍升级之后的ACK容器监控体系,包括各大盘界面展示和概要介绍。
阿里云基础设施.
57 21
栈江湖
|
2月前
|
存储 Kubernetes 开发者
容器化时代的领航者:Docker 和 Kubernetes 云原生时代的黄金搭档
Docker 是一种开源的应用容器引擎,允许开发者将应用程序及其依赖打包成可移植的镜像,并在任何支持 Docker 的平台上运行。其核心概念包括镜像、容器和仓库。镜像是只读的文件系统,容器是镜像的运行实例,仓库用于存储和分发镜像。Kubernetes(k8s)则是容器集群管理系统,提供自动化部署、扩展和维护等功能,支持服务发现、负载均衡、自动伸缩等特性。两者结合使用,可以实现高效的容器化应用管理和运维。Docker 主要用于单主机上的容器管理,而 Kubernetes 则专注于跨多主机的容器编排与调度。尽管 k8s 逐渐减少了对 Docker 作为容器运行时的支持,但 Doc
栈江湖
158 5
容器化时代的领航者:Docker 和 Kubernetes 云原生时代的黄金搭档
RossyYan
|
30天前
|
Kubernetes Linux 虚拟化
入门级容器技术解析:Docker和K8s的区别与关系
本文介绍了容器技术的发展历程及其重要组成部分Docker和Kubernetes。从传统物理机到虚拟机,再到容器化,每一步都旨在更高效地利用服务器资源并简化应用部署。容器技术通过隔离环境、减少依赖冲突和提高可移植性,解决了传统部署方式中的诸多问题。Docker作为容器化平台,专注于创建和管理容器;而Kubernetes则是一个强大的容器编排系统,用于自动化部署、扩展和管理容器化应用。两者相辅相成,共同推动了现代云原生应用的快速发展。
RossyYan
121 11
阿里云基础设施.
|
2月前
|
Prometheus Kubernetes 监控
OpenAI故障复盘 - 阿里云容器服务与可观测产品如何保障大规模K8s集群稳定性
聚焦近日OpenAI的大规模K8s集群故障,介绍阿里云容器服务与可观测团队在大规模K8s场景下我们的建设与沉淀。以及分享对类似故障问题的应对方案:包括在K8s和Prometheus的高可用架构设计方面、事前事后的稳定性保障体系方面。
阿里云基础设施.
146 15
技术内容小助手
|
1月前
|
人工智能 运维 监控
容器服务Kubernetes场景下可观测体系生产级最佳实践
阿里云容器服务团队在2024年继续蝉联Gartner亚洲唯一全球领导者象限,其可观测体系是运维的核心能力之一。该体系涵盖重保运维、大规模集群稳定性、业务异常诊断等场景,特别是在AI和GPU场景下提供了全面的观测解决方案。通过Tracing、Metric和Log等技术,阿里云增强了对容器网络、存储及多集群架构的监控能力,帮助客户实现高效运维和成本优化。未来,结合AI助手,将进一步提升问题定位和解决效率,缩短MTTR,助力构建智能运维体系。
技术内容小助手
98 4
刘大猫.
|
2月前
|
监控 NoSQL 时序数据库
《docker高级篇(大厂进阶):7.Docker容器监控之CAdvisor+InfluxDB+Granfana》包括:原生命令、是什么、compose容器编排,一套带走
《docker高级篇(大厂进阶):7.Docker容器监控之CAdvisor+InfluxDB+Granfana》包括:原生命令、是什么、compose容器编排,一套带走
刘大猫.
285 78
刘大猫.
|
30天前
|
Ubuntu NoSQL Linux
《docker基础篇:3.Docker常用命令》包括帮助启动类命令、镜像命令、有镜像才能创建容器,这是根本前提(下载一个CentOS或者ubuntu镜像演示)、容器命令、小总结
《docker基础篇:3.Docker常用命令》包括帮助启动类命令、镜像命令、有镜像才能创建容器,这是根本前提(下载一个CentOS或者ubuntu镜像演示)、容器命令、小总结
刘大猫.
131 6
《docker基础篇:3.Docker常用命令》包括帮助启动类命令、镜像命令、有镜像才能创建容器,这是根本前提(下载一个CentOS或者ubuntu镜像演示)、容器命令、小总结
我是快乐的嘟嘟
|
2月前
|
监控 Docker 容器
在Docker容器中运行打包好的应用程序
在Docker容器中运行打包好的应用程序
我是快乐的嘟嘟
210 64
云原生

容器服务

热门文章

最新文章

  • 1
    Docker 镜像加速器
  • 2
    Docker CE 镜像源站
  • 3
    Minikube - Kubernetes本地实验环境
  • 4
    Docker学习路线图 (持续更新中)
  • 5
    利用Helm简化Kubernetes应用部署
  • 6
    理解Docker容器的进程管理
  • 7
    在阿里云容器服务上开发基于Docker的Spring Cloud微服务应用
  • 8
    Docker Engine 镜像源站
  • 9
    spring源码-增强容器xml解析-3.1
  • 10
    阿里云Windows Server 2016环境Docker试用
  • 1
    【赵渝强老师】K8s中Pod探针的TCPSocketAction
    134
  • 2
    【赵渝强老师】K8s中Pod探针的ExecAction
    44
  • 3
    【赵渝强老师】K8s中Pod探针的HTTPGetAction
    42
  • 4
    【赵渝强老师】Kubernetes中Pod的探针
    63
  • 5
    容器服务:智算时代云原生操作系统及月之暗面Kimi、深势科技实践分享
    101
  • 6
    canal-starter 监听解析 storeValue 不一样,同样的sql 一个在mybatis执行 一个在数据库操作,导致解析不出正确对象
    68
  • 7
    【Docker最新版教程】一文带你快速入门Docker常见用法,实现容器编排和自动化部署上线项目
    483
  • 8
    【最新版正确姿势】Docker安装教程(简单几步即可完成)
    3273
  • 9
    ​​国内 5 个最佳的控制面板,可轻松管理服务器
    259
  • 10
    【赵渝强老师】K8s的有状态控制器StatefulSet
    147

    • 相关产品

  • 容器计算服务
    文档详情 产品详情
  • 容器服务Kubernetes版
    文档详情 产品详情

    • 相关课程

    更多
  • 阿里云 EMR on ACK 实战
  • 阿里云K8S微服务部署案例
  • Kubernetes极速入门
  • Serverless 容器从入门到精通: - Serverless Kubernetes
  • Kubernetes云原生管理实践
  • Kubernetes入门

    • 相关电子书

    更多
  • ACK 云原生弹性方案—云原生时代的加速器
  • ACK集群类型选择最佳实践
  • 企业运维之云原生和Kubernetes 实战

    • 相关实验场景

    更多
  • 通过ACK Serverless搭建企业级网站应用
  • 基于ACK Serverless实现容器应用弹性伸缩
  • 在ACK Serverless中部署Stable Diffusion应用
  • 通过容器镜像仓库与容器服务快速部署spring-hello应用
  • 使用ACK Serverless容器化部署大语言模型FastChat
  • 通过EDAS实现K8s微服务应用的金丝雀发布

    • 推荐镜像

    更多
  • kubernetes
  • ceph
  • docker-ce
    • 下一篇
    DeepSeek-V2.5-1210 在线开放使用!支持联网搜索,在各大领域的表现得到全面提升