k8s基于canel的网络策略

Kubernetes能够把集群中不同Node节点上的Pod连接起来，并且默认情况下，每个Pod之间是可以相互访问的。但在某些场景中，不同的Pod不应该互通，这个时候就需要进行访问控制。
亲测：在kubernetes集群中，默认可以设定NetworkPolicy资源，但是必须安装支持网络策略的插件，否则即使设置好网络策略也不会生效。

calico提供了多种解决方案：
        （1）使用flannel提供网络，使用calico插件提供网络策略；
        （2）使用calico同时提供网络和策略；
        （3）仅使用calico提供网络策略；
        。。。
        flannel并不能对集群中网络提供网络策略功能，但是并没有必要卸载flannel单独安装calico。
        多数情况下，我们使用calico提供的第一种解决方案，只需要安装calico的网络策略功能插件即可。
    
        我们使用第一种，让flannel提供网络功能，calico提供网络策略功能：
        有两种安装方式：1.使用kubernetes的etcd存储栈；
                                     2.单独创建专门用于canal插件的etcd存储栈；
        一般使用基于Kubernetes API的etcd存储栈，而且是官方推荐的方案。

官网：https://docs.projectcalico.org

安装：
    （1）安装calico的canal插件：
             curl https://docs.projectcalico.org/v3.7/manifests/canal.yaml -O
    （2）如果您使用的是pod cidr 10.244.0.0/16，请跳到下一步。如果您使用的是不同的pod cidr，请使用以下命令来设置包含pod cidr的环境变量pod cidr，并将清单中的10.244.0.0/16替换为pod cidr。
            POD_CIDR="<your-pod-cidr>" \
            sed -i -e "s?10.244.0.0/16?$POD_CIDR?g" canal.yaml  
    （3）部署canal插件：
            kubectl apply -f canal.yaml
        使用kubectl get pods -n kube-system中查看安装进程。

安装完成后，即可编写networkPolicy的资源清单。

NetworkPolicy的配置清单编写：
        NetworkPolicy是kubernetes集群中标准的资源，所以书写格式和其他资源的清单差不多。
            主要字段：

 apiVersion: Networking.k8s.io/v1
 kind: NetworkPolicy
 metadata:
    name:
    namespace:
 spec:
    egress:              ##出站规则。不写则按默认允许所有出站；
    ingress:             ##入站规则。不写则按默认不允许所有入站；
    podSelector:      ##必写字段。不写则策略将应用在所在的命名空间下的所有资源；
    policyTypes:       ##策略类型：egress或ingress或无或搭配；               

例：禁止所有入站：

 apiVersion: networking.k8s.io/v1
 kind: NetworkPolicy
 metadata:
    name: deny-all-ingress
 spec:
    podSelector: {}
    policyTypes:
    - Ingress

例：允许所有出站：

 apiVersion: networking.k8s.io/v1
 kind: NetworkPolicy
 metadata:
   name: allow-all-egress
 spec:
    podSelector: {}
    egress:
    - {}
    policyTypes:
    - Egress

　　 例：允许特定的访问流量

 apiVersion: networking.k8s.io/v1
 kind: NetworkPolicy
 metadata:
   name: allow-myapp-policy
 spec:
   podSelector:
     matchLabels:
       app: myapp   ##标签为app=myapp允许入站访问。
   ingress:
   - from:
     - ipBlock:     ##地址段。
         cidr: 10.244.0.0/  ##允许这个地址段访问。
         except:    ##以下地址不可以访问。
         - 10.244.1.2/
     ports:
     - port:      ##只允许访问80端口。
       protocol: TCP

例：指定pod标签访问

　　　　我们要对namespace为dev，带有"role: backend"标签的所有pod进行访问控制：只允许标签为"role: frontend"的Pod，并且TCP端口为80的数据流入，其他流量都不允许。

 apiVersion: networking.k8s.io/v1
 kind: NetworkPolicy
 metadata:
   name: all-frontend
 spec:
   podSelector:
     matchLabels:
       role:backend
   ingress:
   - from:
     - podSelector:
         matchLabels:
           role: frontend
     ports:
     - protocol: TCP
         port: 

例：指定namespaces标签访问
               我们要对标签为"role=frontend"的所有Pod进行访问控制：只允许namespace标签为"user=smbands"的各Pod，并且TCP端口为443的数据流入，其他流量都不允许。

 apiVersion: networking.k8s.io/v1
 kind: NetworkPolicy
 metadata:
   name: allow-tcp-
 spec:
   podSelector:
     matchLabels:
       role: frontend
   ingress:
   - ports:
     - protocol: TCP
       port:
     from:
     - namespaceSelector:
         matchLabels:
           user: smbands