2. 程式人生 > >附029.Kubernetes安全之網路策略

附029.Kubernetes安全之網路策略

阿新 發佈:2020-12-23
[toc] ### 環境構建 #### 基礎環境構建 ``` [root@master01 cksstudy]# vi studyns01.yaml apiVersion: v1 kind: Namespace metadata: name: studyns01 labels: role: studyns01 [root@master01 cksstudy]# vi studyns02.yaml apiVersion: v1 kind: Namespace metadata: name: studyns02 labels: role: studyns02 [root@master01 cksstudy]# vi studyns03.yaml apiVersion: v1 kind: Namespace metadata: name: studyns03 labels: role: studyns03 [root@master01 cksstudy]# vi studyns04.yaml apiVersion: v1 kind: Namespace metadata: name: studyns04 labels: role: studyns04 [root@master01 cksstudy]# vi studypod01.yaml apiVersion: v1 kind: Pod metadata: name: studypod01 namespace: studyns01 labels: role: studypod01 spec: containers: - name: studypod01 image: training/webapp command: - python - app.py imagePullPolicy: IfNotPresent restartPolicy: Always [root@master01 cksstudy]# vi studypod02.yaml apiVersion: v1 kind: Pod metadata: name: studypod02 namespace: studyns01 labels: role: studypod02 spec: containers: - name: studypod02 image: training/webapp command: - python - app.py imagePullPolicy: IfNotPresent restartPolicy: Always [root@master01 cksstudy]# vi studypod03.yaml apiVersion: v1 kind: Pod metadata: name: studypod03 namespace: studyns01 labels: role: studypod03 spec: containers: - name: studypod03 image: training/webapp command: - python - app.py imagePullPolicy: IfNotPresent restartPolicy: Always [root@master01 cksstudy]# vi studypod04.yaml apiVersion: v1 kind: Pod metadata: name: studypod04 namespace: studyns02 labels: role: studypod04 spec: containers: - name: studypod04 image: training/webapp command: - python - app.py imagePullPolicy: IfNotPresent restartPolicy: Always [root@master01 cksstudy]# vi studypod05.yaml apiVersion: v1 kind: Pod metadata: name: studypod05 namespace: studyns03 labels: role: studypod05 spec: containers: - name: studypod05 image: training/webapp command: - python - app.py imagePullPolicy: IfNotPresent restartPolicy: Always [root@master01 cksstudy]# vi studypod06.yaml apiVersion: v1 kind: Pod metadata: name: studypod06 namespace: studyns04 labels: role: studypod06 spec: containers: - name: studypod06 image: training/webapp command: - python - app.py imagePullPolicy: IfNotPresent restartPolicy: Always [root@master01 cksstudy]# kubectl apply -f . [root@master01 cksstudy]# kubectl -n studyns01 get pods -o wide NAME READY STATUS RESTARTS AGE IP NODE NOMINATED NODE READINESS GATES studypod01 1/1 Running 0 14s 10.10.30.108 worker02 studypod02 1/1 Running 0 14s 10.10.5.46 worker01 studypod03 1/1 Running 0 14s 10.10.5.47 worker01 [root@master01 cksstudy]# kubectl -n studyns02 get pods -o wide NAME READY STATUS RESTARTS AGE IP NODE NOMINATED NODE READINESS GATES studypod04 1/1 Running 0 16s 10.10.30.109 worker02 [root@master01 cksstudy]# kubectl -n studyns03 get pods -o wide NAME READY STATUS RESTARTS AGE IP NODE NOMINATED NODE READINESS GATES studypod05 1/1 Running 0 19s 10.10.5.48 worker01 [root@master01 cksstudy]# kubectl -n studyns04 get pods -o wide NAME READY STATUS RESTARTS AGE IP NODE NOMINATED NODE READINESS GATES studypod06 1/1 Running 0 21s 10.10.30.110 worker02 ``` #### 網路測試 ``` [root@master01 cksstudy]# kubectl -n studyns01 exec -ti studypod01 -- /bin/sh # ping -c 1 10.10.5.46 PING 10.10.5.46 (10.10.5.46) 56(84) bytes of data. 64 bytes from 10.10.5.46: icmp_seq=1 ttl=62 time=0.374 ms --- 10.10.5.46 ping statistics --- 1 packets transmitted, 1 received, 0% packet loss, time 0ms rtt min/avg/max/mdev = 0.374/0.374/0.374/0.000 ms # ping -c 1 10.10.5.47 PING 10.10.5.47 (10.10.5.47) 56(84) bytes of data. 64 bytes from 10.10.5.47: icmp_seq=1 ttl=62 time=0.522 ms --- 10.10.5.47 ping statistics --- 1 packets transmitted, 1 received, 0% packet loss, time 0ms rtt min/avg/max/mdev = 0.522/0.522/0.522/0.000 ms # ping -c 1 10.10.30.109 PING 10.10.30.109 (10.10.30.109) 56(84) bytes of data. 64 bytes from 10.10.30.109: icmp_seq=1 ttl=63 time=0.109 ms --- 10.10.30.109 ping statistics --- 1 packets transmitted, 1 received, 0% packet loss, time 0ms rtt min/avg/max/mdev = 0.109/0.109/0.109/0.000 ms # ping -c 1 10.10.5.48 PING 10.10.5.48 (10.10.5.48) 56(84) bytes of data. 64 bytes from 10.10.5.48: icmp_seq=1 ttl=62 time=0.408 ms --- 10.10.5.48 ping statistics --- 1 packets transmitted, 1 received, 0% packet loss, time 0ms rtt min/avg/max/mdev = 0.408/0.408/0.408/0.000 ms # ping -c 1 10.10.30.110 PING 10.10.30.110 (10.10.30.110) 56(84) bytes of data. 64 bytes from 10.10.30.110: icmp_seq=1 ttl=63 time=0.073 ms --- 10.10.30.110 ping statistics --- 1 packets transmitted, 1 received, 0% packet loss, time 0ms rtt min/avg/max/mdev = 0.073/0.073/0.073/0.000 ms ``` ### 安全策略 #### 策略配置 ``` [root@master01 cksstudy]# vi studynp01.yaml apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: studynp01 namespace: studyns01 spec: podSelector: matchLabels: role: studypod01 policyTypes: - Ingress - Egress ingress: - from: - ipBlock: cidr: 10.10.0.0/16 except: - 10.10.30.0/24 - namespaceSelector: matchLabels: role: studyns03 - podSelector: matchLabels: role: studypod02 ports: - protocol: TCP port: 5000 egress: - to: - ipBlock: cidr: 10.10.30.0/24 ports: - protocol: TCP port: 5000 [root@master01 cksstudy]# kubectl apply -f studynp01.yaml ``` ***釋義說明:*** + 必須欄位:類似於Kubernetes其他安全策略,NetworkPolicy 資源需要 apiVersion、 kind 和 metadata 欄位。 + pec:NetworkPolicy spec中包含了在一個名稱空間中定義特定網路策略所需的所有資訊。 + podSelector:每個 NetworkPolicy 都包括一個 podSelector,它對該策略所適用的一組 Pod 進行選擇。空的 podSelector 表示匹配名稱空間下的所有 Pod。 + policyTypes: 每個 NetworkPolicy 都包含一個 policyTypes 列表,其中包含 Ingress 或 Egress 或兩者兼具。policyTypes 欄位表示該策略是應用於 進入所選 Pod 的入站流量還是來自所選 Pod 的出站流量,或兩者都進行了配置。 如果 NetworkPolicy 未指定 policyTypes 則預設情況下始終設定 Ingress; 如果 NetworkPolicy 有需要配置任何出口規則的話則必須配置 Egress。 + ingress: 每個 NetworkPolicy 可包含一個 ingress 規則的白名單列表。 每個規則都允許同時匹配 from 和 ports 部分的流量。 + egress: 每個 NetworkPolicy 可包含一個 egress 規則的白名單列表。 每個規則都允許匹配 to 和 port 部分的流量。 如上網路策略示例表示: + 隔離 "studyns01" 名稱空間下 "role:=studypod01" 的 Pod ,即隔離studypod01; + Ingress 規則允許以下 Pod 連線到 "studyns01" 名稱空間下的帶有 "role:=studypod01" 標籤的所有 Pod 的 5000 TCP 埠: + 允許"studyns01" 名稱空間下帶有 "role:=studypod01" 標籤的所有 Pod入; + 允許帶有 "role=studyns03" 標籤的名稱空間中的所有 Pod入; + 允許IP 地址範圍為除了 10.10.30.0/24 之外的所有 10.10.0.0/16入。 + Egress 規則允許從"studyns01" 名稱空間中帶有 "role:=studypod01" 標籤的任何 Pod 到 CIDR 10.0.0.0/16 下 5000 TCP 埠的連線。 #### 策略測試 ##### ingress方向測試 + 擁有10.10.30.0/24 ip的Pod(如studypod04)訪問studypod01(10.10.5.46): ``` [root@master01 ~]# kubectl -n studyns02 exec -ti studypod04 -- /bin/bash root@studypod04:/opt/webapp# nc -v 10.10.30.108 5000 #根據策略應該不通 ``` + 擁有10.10.0.0/16 ip的Pod(如studypod03)訪問studypod01(10.10.5.46): ``` [root@master01 ~]# kubectl -n studyns01 exec -ti studypod03 -- /bin/bash root@studypod03:/opt/webapp# nc -v 10.10.30.108 5000 #根據策略應該能通 Connection to 10.10.30.108 5000 port [tcp/*] succeeded! ``` + 所有studyns03名稱空間下的Pod(如studypod05)訪問studypod01(10.10.5.46): ``` [root@master01 ~]# kubectl -n studyns03 exec -ti studypod05 -- /bin/bash root@studypod05:/opt/webapp# nc -v 10.10.30.108 5000 #根據策略應該能通 Connection to 10.10.30.108 5000 port [tcp/*] succeeded! ``` + 所有帶role=studypod02標籤的Pod(如studypod02)訪問studypod01(10.10.5.46): ``` [root@master01 ~]# kubectl -n studyns01 exec -ti studypod02 -- /bin/bash root@studypod02:/opt/webapp# nc -v 10.10.30.108 5000 #根據策略應該能通 Connection to 10.10.30.108 5000 port [tcp/*] succeeded! ``` ##### egress方向測試 + studypod01訪問擁有10.10.30.0/24 ip的Pod(如studypod06): ``` [root@master01 ~]# kubectl -n studyns01 exec -ti studypod01 -- /bin/bash root@studypod01:/opt/webapp# nc -v 10.10.30.109 5000 #根據策略應該能通 Connection to 10.10.30.109 5000 port [tcp/*] succeeded! ^C root@studypod01:/opt/webapp# nc -v 10.10.30.110 5000 #根據策略應該能通 Connection to 10.10.30.110 5000 port [tcp/*] succeeded! ^C root@studypod01:/opt/webapp# nc -v 10.10.5.46 5000 #根據策略應該不通 ^C ``` #### to和from行為 在 ingress 的 from 部分或 egress 的 to 部分中指定四種選擇器: + podSelector: 此選擇器將在與 NetworkPolicy 相同的名稱空間中選擇特定的 Pod,ingress 的 from 則表示允許該選擇器選定的Pod作為入站流量來源,egress 的 to則表示允許去往該選擇器選定的Pod的出站流量(即該podSelector選定的Pod為目的地)。 + namespaceSelector:此選擇器將選擇特定的名稱空間,應將所有 Pod 用作其入站流量來源或出站流量目的地。 + namespaceSelector 和 podSelector: 一個指定 namespaceSelector 和 podSelector 的 to/from 條目選擇特定名稱空間中的特定 Pod。 示例001:只允許來自帶有user=xhyns標籤的名稱空間下,且帶有role=xhyuser的特定Pod的入請求連線。 ``` ... ingress: - from: - namespaceSelector: matchLabels: user: alice podSelector: matchLabels: role: client ... ``` 示例002:允許來自帶有user=xhyns標籤的名稱空間下的任何Pod,或來自該策略所在名稱空間的帶有role=xhyuser的Pod的入請求連線。 ``` ... ingress: - from: - namespaceSelector: matchLabels: user: xhyns - podSelector: matchLabels: role: xhyuser ... ``` + ipBlock: 此選擇器將選擇特定的 IP CIDR 範圍以用作入站流量來源或出站流量目的地。通常為叢集外部IP,Pod IP通常為隨機產生,使用Pod IP段無實際意義。 #### 預設策略 預設情況下,如果名稱空間中不存在任何策略,則所有進出該名稱空間中 Pod 的流量都被允許。 可通過如下方式修改名稱空間中的預設行為。 + 預設拒絕所有入站流量 禁止進入studyns01名稱空間下的所有Pod的入流量,即預設拒絕所有進入studyns01名稱空間任何Pod的流量。 ``` apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: default-deny-ingress namespace: studyns01 spec: podSelector: {} policyTypes: - Ingress ``` > 如上可以當做最後匹配策略,確保即使容器沒有匹配到其他任何 NetworkPolicy,也仍然可以被隔離。 此策略不會更改預設的出口隔離行為。 + 預設允許所有入站流量 允許進入studyns01名稱空間下的所有Pod的入流量,即預設允許所有進入studyns01名稱空間任何Pod的流量。 ``` apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: allow-all-ingress namespace: studyns01 spec: podSelector: {} policyTypes: - Ingress ingress: - {} ``` + 預設拒絕所有出站流量 禁止studyns01名稱空間下的所有Pod的出流量,即預設禁止studyns01名稱空間任何Pod的出流量。 ``` apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: default-deny-egress namespace: studyns01 spec: podSelector: {} policyTypes: - Egress ``` + 預設允許所有出站流量 允許studyns01名稱空間下的所有Pod的出流量,即預設允許studyns01名稱空間任何Pod的出流量。 ``` apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: allow-all-egress namespace: studyns01 spec: podSelector: {} egress: - {} policyTypes: - Egress ``` > 匹配此策略後,能保證即使添加了導致某些 Pod 被視為“隔離”的策略也能顯式的允許該名稱空間中的所有出站流量。 + 預設拒絕所有入口和所有出站流量 禁止studyns01名稱空間下的所有出入流量。 ``` apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: default-deny-all spec: podSelector: {} policyTypes: - Ingress - Egress ``` > 如上可以當做最後匹配策略,確保即使沒有被其他任何 NetworkPolicy 選擇的 Pod 也不會被允許入站或出站

相關推薦

029.Kubernetes安全網路策略

[toc] ### 環境構建 #### 基礎環境構建 ``` [root@master01 cksstudy]# vi studyns01.yaml apiVersion: v1 kind: Namespace metadata: name: studyns01 labels: role: s

web安全同源策略

rip 瀏覽器中 屬性。 名單 java get message 否則 cookie 為什麽使用同源策略?一個重要原因就是對cookie的保護,cookie 中存著sessionID 。如果已經登錄網站,同時又去了任意其他網站,該網站有惡意JS代碼。如果沒有同源策略,那麽這

網路安全網路安全的未來

      網路安全一定是依附於網路應用而存在的,併為越來越多的網路應用保駕護航。如果未來的網路環境的安全度同現在相比沒有充分的提高,現在很多普遍被人們看好的網路應用都無法推廣使用或被迫關閉。       這絕非危言聳聽!       網路安全問題已經是擺在世界各國政府面前

Kubernetescanal的網路策略(NetworkPolicy)

安裝要求: 1、我們這裡安裝的是3.3的版本。kubernetes的要求: 支援的版本 1.10 1.11 1.12 2、CNI外掛需要啟用,Calico安裝為CNI外掛。必須通過傳遞--network-plugin=cni引數將kubelet配置為使用CNI網路。(在kubeadm

Kubernetes網路策略安全策略_Kubernetes中文社群

編者注:今天的文章由 Bernard Van De Walle( Aporeto 公司 Kubernetes 專案帶頭人)撰寫,文章描述如何使用新的方法來實現 Kubernetes 網路策略。 Kubernetes 網路策略 Kubernetes 支援網路策略的新 API,為隔離應用和減少攻擊

kubernetes高階pod安全策略

系列目錄 什麼是pod安全策略 pod安全策略是叢集級別的用於控制pod安全相關選項的一種資源.PodSecurityPolicy定義了一系列pod相要進行在系統中必須滿足的約束條件,以衣一些預設的約束值.它允許管理員控制以下方面內容 Control Aspect Field Names 以

Web 安全內容安全策略(Content-Security-Policy,CSP)詳解

pid eba elf safe 數據 信息 java php 我們 1.CSP 簡介 內容安全策略(Content Security Policy,簡稱CSP)是一種以可信白名單作機制,來限制網站是否可以包含某些來源內容,緩解廣泛的內容註入漏洞,比如 XSS。 簡單來說,

入門須知網路爬蟲的基本流程及抓取策略

大資料時代下,資料採集推動著資料分析,資料分析推動發展。但是在這個過程中會出現很多問題。拿最簡單最基礎的爬蟲採集資料為例,過程中就會面臨,IP被封,爬取受限、違法操作等多種問題,所以在爬去資料之前,一定要了解好預爬網站是否涉及違法操作,找到合適的代理IP訪問網站等一系列問題。 掌握爬蟲技術也成為現在技術流的

MK為你詳解網路安全偽裝MAC地址

本節所講內容 : MK為你詳解網路安全之區域網內偽裝MAC地址XX(xx為不可描述內容,自行體會!) 注:本文章以學習TCP原理為目的,同學們不要做壞事。 需要學習資料的同學可以給我傳送站內信,我會發給大家! 實驗環境:RHEL 7 ssh 客戶端: xuegod63 192.168.

網站安全邏輯漏洞檢測 網站漏洞修復方案

過程 使用 知識 就是 ima 截取 mys 發的 加密 在網站安全的日常安全檢測當中,我們SINE安全公司發現網站的邏輯漏洞占比也是很高的,前段時間某酒店網站被爆出存在高危的邏輯漏洞,該漏洞導致酒店的幾億客戶的信息遭泄露,包括手機號,姓名,地址都被泄露,後續帶來的損失很大

21天轉型容器實戰營(十三容器進階Kubernetes安全原理分析-實戰)

[[email protected] ~]# kubectl get namespace NAME STATUS AGE default Active 8d kube-public Active 8d kube-system Acti

Kubernetes 1.10釋出:更趨穩定的儲存、安全網路功能_Kubernetes中文社群

我們今天興奮地宣佈,Kubernetes在2018年年內的第一個版本——1.10版已經正式釋出! 此次新版本的推出不斷提升Kubernetes的成熟度、可擴充套件性與可插入性。本次最新版本提升了三大關鍵性功能的穩定度,分別為儲存、安全與網路。另外,此次新版本還引入了外部kubectl憑證提供程

安全網路通道——網路准入二層准入

安全是網路設計的永恆話題,網路攻擊與防護措施兩方,一直以來都在“魔高一尺,道高一丈”的迴圈螺旋式發展。進入雲端計算時代,網路安全的重要性更加突出,幾乎所有的雲端計算業務都不可能脫離嚴密的安全策略而獨立存在。 雲端計算強調資源請求與資源排程的分離,實際處理請求的後臺系統與發出請求的終端使用者之間是

藉助 Calico,管窺 Kubernetes 網路策略_Kubernetes中文社群

Kubernetes 提出了一系列 CXI 的標準容器介面,其中的 CNI 以外掛方式支援多種網路。新增的 networkpolicy API 物件,提供了對網路策略的支援,本文以 Calico 為例,實際操作一個網路策略的建立和測試。 環境準備 一個 Kubernetes 叢集 Kubel

Kubernetes技術分析網路

概述 Docker的流行激活了一直不溫不火的PaaS,隨著而來的是各類Micro-PaaS的出現,Kubernetes是其中最具代表性的一員,它是Google多年大規模容器管理技術的開源版本。本系列文章將逐一分析Kubernetes,本文說明 Kubernet

藉助 Calico,管窺 Kubernetes 網路策略

Kubernetes 提出了一系列 CXI 的標準容器介面,其中的 CNI 以外掛方式支援多種網路。新增的 networkpolicy API 物件,提供了對網路策略的支援,本文以 Calico 為例,實際操作一個網路策略的建立和測試。 環境準備 一個 Kuberne

kubernetes/k8s概念】k8s 網路策略

      預設 Pod 是未隔離的,它們可以從任何的源接收請求。Pod 的使用網路策略後,Pod 就會變成隔離的。 一旦 Namespace 中配置的網路策略能夠選擇一個特定的 Pod,這個 Pod 將拒絕任何該網路策略不允許的連線。(Namespace

網路安全---Cookie攻擊與防範技術

下面總結一下常見的Cookie攻擊和防禦的過程和步驟: Cookie欺騙攻擊(瞭解欺騙原理) 1)Cookie資訊保安隱患 持久Cookie

程式設計師網路安全系列(一):為什麼要關注網路安全

系列目錄: 假如,明明和麗麗相互不認識,明明想給麗麗寫一封情書,讓隔壁老王送去 如何保證隔壁老王不能看到情書內容?(保密性) 如何保證隔壁老王不修改情書的內容?(完整性) 如何保證隔壁老王不冒充明明?(身份認證) 如何保證明明不能否認情書是自己寫的?(來源的不可否認) 前言 大家都知道最近幾年鬧的沸

程式設計師網路安全系列(六):動態密碼

系列目錄 前文回顧 程式設計師之網路安全系列(五):數字證書以及12306的證書問題 我們使用了數字證書,確保了對方的公鑰身份,也就是網際網路中確定了要訪問的網站就是你要訪問的網站。 但是我們如何確定要訪問這個網站的使用者就是要訪問的使用者呢? 對銀行來說需要確保“敏捷的水”登入銀行時,必須是"敏捷