Kubernetes 网络策略实战：限定 Pod 访问数据库，提升集群安全

Kubernetes 网络策略实战：限定 Pod 访问数据库，提升集群安全

在 Kubernetes 集群中，网络策略 (Network Policy) 是一个强大的安全工具，它允许你控制 Pod 之间的网络流量。默认情况下，Kubernetes 集群中的所有 Pod 都可以互相访问，这在某些情况下可能存在安全风险。通过使用网络策略，我们可以实现更细粒度的访问控制，例如，只允许特定的 Pod 访问数据库 Pod，从而提高集群的安全性。

1. 网络策略的基本概念

网络策略是 Kubernetes 中的一种资源对象，它定义了一组规则，用于控制 Pod 的入站（ingress）和出站（egress）流量。网络策略基于标签选择器 (label selector) 来选择 Pod，并定义允许或拒绝哪些流量进出这些 Pod。

• Pod 选择器 (Pod Selector): 用于选择应用网络策略的 Pod。只有匹配选择器的 Pod 才会受到该策略的约束。
• 入口规则 (Ingress Rules): 定义允许哪些流量进入被选中的 Pod。可以基于源 Pod 的标签、命名空间或 IP 地址来设置规则。
• 出口规则 (Egress Rules): 定义允许被选中的 Pod 发出哪些流量。可以基于目标 Pod 的标签、命名空间或 IP 地址来设置规则。
• 策略类型 (Policy Types): 指定策略应用于入口流量、出口流量还是两者都应用。常见的策略类型包括 Ingress 和 Egress。

2. 配置网络策略的步骤

下面以一个具体的例子来说明如何配置网络策略，只允许特定的 Pod 访问数据库 Pod。

场景描述：

假设我们有一个名为 database 的命名空间，其中运行着一个数据库 Pod，标签为 app=database。我们希望只允许 frontend 命名空间中标签为 app=web 的 Pod 访问这个数据库 Pod。

步骤：

1. 创建 NetworkPolicy 资源对象：

   创建一个 YAML 文件，例如 database-policy.yaml，并定义 NetworkPolicy 资源对象。

   apiVersion: networking.k8s.io/v1
   kind: NetworkPolicy
   metadata:
     name: database-access
     namespace: database # 策略应用于 database 命名空间
   spec:
     podSelector:
       matchLabels:
         app: database # 选择具有 app=database 标签的 Pod
     policyTypes:
     - Ingress # 只限制入口流量
     ingress:
     - from:
       - namespaceSelector:
           matchLabels:
             name: frontend # 允许来自 frontend 命名空间的流量
         podSelector:
           matchLabels:
             app: web # 且 Pod 具有 app=web 标签
   

2. 应用 NetworkPolicy：

   使用 kubectl apply 命令将 NetworkPolicy 应用到 Kubernetes 集群中。

   kubectl apply -f database-policy.yaml
   

   这个命令会将名为 database-access 的 NetworkPolicy 应用到 database 命名空间中。

3. 策略详解

• apiVersion: networking.k8s.io/v1 和 kind: NetworkPolicy 定义了资源对象的类型为 NetworkPolicy。

• metadata.name: database-access 定义了 NetworkPolicy 的名称。

• metadata.namespace: database 定义了 NetworkPolicy 应用的命名空间，这里是 database 命名空间。

• spec.podSelector.matchLabels.app: database 定义了 Pod 选择器，选择所有具有 app=database 标签的 Pod。这意味着这个策略会影响所有数据库 Pod 的入口流量。

• spec.policyTypes: - Ingress 定义了策略类型为 Ingress，表示只限制入口流量。也就是说，只有进入数据库 Pod 的流量会被限制。

• spec.ingress.from 定义了允许哪些流量进入数据库 Pod。这里使用了 namespaceSelector 和 podSelector 组合来选择源 Pod。

  • namespaceSelector.matchLabels.name: frontend 表示允许来自 frontend 命名空间的流量。
  • podSelector.matchLabels.app: web 表示允许来自具有 app=web 标签的 Pod 的流量。

  综上所述，这个策略只允许来自 frontend 命名空间中具有 app=web 标签的 Pod 访问 database 命名空间中具有 app=database 标签的 Pod。

4. 测试网络策略

为了验证网络策略是否生效，可以创建一个测试 Pod，尝试从该 Pod 访问数据库 Pod。如果该 Pod 不符合网络策略的规则，则访问应该被拒绝。

1. 创建测试 Pod：

   在 frontend 命名空间中创建一个没有 app=web 标签的测试 Pod。

   apiVersion: v1
   kind: Pod
   metadata:
     name: test-pod
     namespace: frontend
   spec:
     containers:
     - name: test-container
       image: busybox
       command: ['sleep', '3600']
   

2. 尝试访问数据库 Pod：

   进入测试 Pod，尝试使用 ping 或 telnet 命令访问数据库 Pod 的 IP 地址和端口。

   kubectl exec -it test-pod -n frontend -- sh
   ping <database-pod-ip>
   telnet <database-pod-ip> <database-pod-port>
   

   如果网络策略生效，你应该无法从测试 Pod 访问数据库 Pod。

5. 常见问题和注意事项

• 网络插件 (CNI): Kubernetes 网络策略的实现依赖于底层的网络插件。确保你使用的网络插件支持网络策略，例如 Calico、Cilium、Weave Net 等。
• 策略优先级： 如果多个网络策略应用于同一个 Pod，它们的优先级取决于网络插件的实现。一般来说，拒绝策略 (deny policy) 的优先级高于允许策略 (allow policy)。
• 默认策略： 如果没有定义任何网络策略，Kubernetes 集群中的所有 Pod 都可以互相访问。为了提高安全性，建议创建一个默认拒绝策略 (default deny policy)，拒绝所有未明确允许的流量。
• 命名空间隔离： 网络策略可以用于实现命名空间级别的隔离。例如，可以创建一个网络策略，拒绝所有跨命名空间的流量。
• 监控和审计： 定期监控和审计网络策略的执行情况，确保它们能够有效地保护集群的安全。

6. 总结

Kubernetes 网络策略是一个强大的安全工具，可以帮助你实现细粒度的访问控制，保护集群免受潜在的安全风险。通过合理配置网络策略，你可以限制 Pod 之间的网络流量，只允许特定的 Pod 访问敏感资源，例如数据库 Pod。希望本文能够帮助你更好地理解和使用 Kubernetes 网络策略，提升集群的安全性。