什么是网络策略 在Kubernetes平台中,要实现零信任网络的安全架构,Calico与istio是在Kubernetes集群中构建零信任网络必不可少的组件. 而建立和维护整个集群中的"零信任网络"中,网络策略的功能在操作上大致可以总结为使用资源配置模板来管理控制平面数据流.说白了讲网络策略就是用来控制Pod间流量的规则. 在Calico中如何编写网络策略 要使用网络策略就需要先了解Calico功能:NetworkPolicy和GlobalNetworkPolicy. NetworkP…

安装要求: 1.我们这里安装的是3.3的版本.kubernetes的要求: 支持的版本 1.10 1.11 1.12 2.CNI插件需要启用,Calico安装为CNI插件.必须通过传递--network-plugin=cni参数将kubelet配置为使用CNI网络.(在kubeadm上,这是默认设置.) 3.支持kube-proxy的模式 iptables ipvs需要1.9以上的 安装Clico用于策略和Flannel用于网络 我们这里使用Kubernetes的etcd进行安装,首先确保Kub…

一,需求 Kubernetes官方推荐的是Flannel,但是Flannel是一个overlay的网络,对性能会有一定的影响.Calico恰好能解决一下overlay网络的不足. Calico在Kubernetes上是以plugin的方式运行的,即calico会检测Kubernetes对于pod或者service的操作,来控制ip的分配和回收.   二,准备 主要参考: https://github.com/kubernetes/kubernetes/blob/master/docs/getti…

创建一个类型为NetworkPolicy的Kubernetes对象的yaml文件. 第九行的podSelector指定这个NetworkPolicy施加在哪些pod上,通过label来做pod的过滤. 从第16行开始的ingress定义,定义了只有具备标签component=ads,module=app的pod才能够连接component=ads, module=db的pod. 首先创建一个临时的pod,使用正确的label(component=ads,module=app)去访问db pod:…

NetworkPolicy是kubernetes对pod的隔离手段,是宿主机上的一系列iptables规则. Egress 表示出站流量,就是pod作为客户端访问外部服务,pod地址作为源地址.策略可以定义目标地址或者目的端口 Ingress 表示入站流量,pod地址和服务作为服务端,提供外部访问.pod地址作为目标地址.策略可以定义源地址和自己端口 官网 https://docs.projectcalico.org/v3.1/getting-started/kubernetes/ 我们这里使用…

一.资源 官方文档 https://docs.projectcalico.org/v3.8/getting-started/kubernetes/installation/integration 二.Calico 部署注意事项 在使用 Calico 前当然最好撸一下官方文档,地址在这里 Calico 官方文档,其中部署前需要注意以下几点 官方文档中要求 kubelet 配置必须增加 --network-plugin=cni 选项 kube-proxy 组件必须采用 iptables proxy…

部署kubernetes dns服务 kubernetes可以为pod提供dns内部域名解析服务.其主要作用是为pod提供可以直接通过service的名字解析为对应service的ip的功能. 部署kubernetes dns服务主要需要两部分. kubelet 在kubelet中增加启动项,修改 $ vi /etc/kubernetes/kubelet KUBELET_ARGS="--cluster_dns=10.254.0.10 --cluster_domain=kube.local&quo…

前言 关于kubernetes HA集群部署的方式有很多种(这里的HA指的是master apiserver的高可用),比如通过keepalived vip漂移的方式.haproxy/nginx负载均衡实现的高可用等.我这里一系列的部署都是通过haproxy 和 nginx 负载均衡的方式去实现集群的部署,并且由于现在k8s使用的用户越来越多,所以网上有很多相似的解决方案.如果本篇文章涉及的抄袭,可以联系我. 一.环境准备 1.1 主机环境 IP地址 主机名 角色 备注192.168.15.13…

0x00 概述 本次采用二进制文件方式部署,本文过程写成了更详细更多可选方案的ansible部署方案 https://github.com/zhangguanzhang/Kubernetes-ansible和之前的步骤差不多都是和kubeadm步骤一样,不过这次所有kubelet全部走bootstrap不会像之前master上的kubelet生成证书,另外证书换成openssl生成 不建议使用secureCRT这个ssh软件复制本篇博客内容的命令,因为它的部分版本对包含多条命令的处理结果并不完美…

前言 目前 kubernetes 正式版本已经到1.10版本.因为前面有大佬(漠然)已经采完坑,所以自己也试着部署 kubernetes 1.9 体验下该版本的新特性.对于前面部署的 kubernetes 1.7 HA版本而言,本质上变化不大.主要是总结一下某些参数的变动以及其他组件的部署. 一.相关配置变更 1.1 关于 API SERVER 配置出现的变动 移除了 --runtime-config=rbac.authorization.k8s.io/v1beta1 配置,因为 RBAC 已经…