すべてのプロダクト
Search
ドキュメントセンター

Container Service for Kubernetes:ネットワークポリシーの使用

最終更新日:Nov 14, 2024

Kubernetesネットワークポリシーを使用して、ポリシーベースのアクセス制御を実装できます。 IPアドレスまたはポートに基づいて特定のアプリケーションへのネットワークトラフィックを制御する場合は、ネットワークポリシーを設定できます。 このトピックでは、ACKサーバーレスクラスターでのネットワークポリシーの使用シナリオについて説明します。

前提条件

使用状況ノート

  • ネットワークポリシーは、ACK Serverless ProクラスターACK Proクラスターでのみ使用できます。

  • ネットワークポリシーはIPv6アドレスをサポートしていません。

  • ネットワークポリシーはendPortフィールドをサポートしていません。

  • ネットワークポリシーでラベルセレクターを使用して、名前空間とポッドを選択できます。 クラスターに多数のネットワークポリシーを作成する場合、ネットワークポリシーのルールに対してリクエストを照合するプロセスに時間がかかります。 さらに、クラスターに多数のネットワークポリシーがある場合、クラスターの管理とトラブルシューティングが複雑になります。 クラスターに40未満のネットワークポリシーを作成することを推奨します。

ステップ1: ネットワークポリシーの有効化

ACK Serverless Proクラスターのネットワークポリシーを有効にするには、次の操作を実行します。

  1. Poseidonコンポーネントをインストールします。

    1. ACKコンソールにログインします。 左側のナビゲーションウィンドウで、[クラスター] をクリックします。

    2. [クラスター] ページで、管理するクラスターの名前をクリックします。 左側のナビゲーションウィンドウで、[操作] > [アドオン] を選択します。

    3. [アドオン] ページで、[ネットワーク] タブをクリックします。 Poseidonカードで、[インストール] をクリックします。

    4. [Poseidonのインストール] ダイアログボックスで、[エラスティックコンテナインスタンスのネットワークポリシー機能の有効化] を選択し、[OK] をクリックします。

      コンポーネントをインストールすると、カードの右上隅にインストール済みが表示されます。

ACKコンソールの使用

  1. ACKコンソールにログインします。 左側のナビゲーションウィンドウで、[クラスター] をクリックします。

  2. On theクラスターページで、管理するクラスターの名前をクリックし、ワークロード > デプロイメント左側のナビゲーションウィンドウに表示されます。

  3. [デプロイメント] タブで、[イメージから作成] をクリックします。 [作成] ページで、nginxという名前のアプリケーションを作成し、サービスを使用してアプリケーションを公開します。 アプリケーションの設定が完了したら、[作成] をクリックします。

    次の表の説明に基づいて次のパラメーターを設定し、他のパラメーターにはデフォルト設定を使用できます。 詳細については、「」をご参照ください。イメージからのデプロイの作成.

    パラメーター

    説明

    基本情報

    名前

    カスタムアプリケーション名を指定します。

    nginx

    レプリカ

    ビジネス要件に基づいて値を指定します。

    1

    Container

    イメージ名

    コンテナイメージの名前を指定します。

    nginx: 最新

    高度

    サービス

    [サービス] の右側にある [作成] をクリックします。 [サービスの作成] ダイアログボックスで、パラメーターを設定します。

    名前: nginx

    データ型:

    • Server Load Balancer

    • パブリックアクセス

    • SLBインスタンスの作成

    ポートマッピング:

    • 名前: nginx

    • サービスポート: 80

    • コンテナポート: 80

    • プロトコル: TCP

  4. [デプロイメント] ページに戻り、[イメージから作成] をクリックします。 [作成] ページで、busyboxという名前のクライアントアプリケーションを作成し、前の手順で作成したnginxサービスのアクセシビリティをテストします。

    次の表の説明に基づいて、busyboxクライアントアプリケーションに次のパラメーターを設定し、他のパラメーターにはデフォルト設定を使用できます。 詳細については、「」をご参照ください。イメージからのデプロイの作成.

    パラメーター

    説明

    基本情報

    名前

    カスタムアプリケーション名を指定します。

    busybox

    レプリカ

    ビジネス要件に基づいて値を指定します。

    1

    コンテナー開始パラメーター

    イメージ名

    コンテナイメージの名前を指定します。

    busybox: 最新

    コンテナー開始パラメーター

    なし。

    stdinttyを選択します。

  5. busyboxクライアントアプリケーションがnginx Serviceにアクセスできるかどうかを確認します。

    1. [デプロイメント] ページで、busyboxアプリケーションを見つけ、その名前をクリックします。

    2. [ポッド] ページで、busybox-{hash value} という名前のポッドを選択し、[操作] 列の [ターミナル] をクリックします。

      image.png

    3. ターミナルで、wget nginxコマンドを実行してnginxサービスにアクセスします。

      connection

      上記の出力は、busyboxがnginx Serviceにアクセスできることを示しています。

CLIの使用

  1. 次のコマンドを実行して、nginxという名前のアプリケーションを作成します。 次に、nginxという名前のサービスを作成して、アプリケーションを公開します。

    nginxという名前のアプリケーションを作成します。

    kubectl run nginx -- image=nginx

    期待される出力:

    pod/nginx作成

    アプリケーションのポッドが起動しているかどうかを照会します。

    kubectl getポッド

    期待される出力:

    の名前準備ができているステータスの履歴書
    nginx 1/1ランニング0 45s 

    nginxという名前のサービスを作成します。

    kubectl公開ポッドnginx -- port=80

    期待される出力:

    service/nginx公開

    サービスを見る:

    kubectl getサービス

    期待される出力:

    名タイプCLUSTER-IP EXTERNAL-IPポート年齢
    kubernetes ClusterIP 172.XX. XX.1 <none> 443/TCP 30m
    nginx ClusterIP 172.XX. XX.48 <none> 80/TCP 12s 
  2. 次のコマンドを実行してbusyboxという名前のポッドを作成し、そのポッドを使用してnginxサービスにアクセスします。

    kubectl run busybox -- rm -ti -- image=busybox /bin/sh

    期待される出力:

    コマンドプロンプトが表示されない場合は、enterキーを押してみてください。
    / #
    / #

    nginxサービスを取得します。

    コマンドプロンプトが表示されない場合は、enterキーを押してみてください。
    /#
    / # wget nginx# wget nginxを入力します。

    期待される出力:

    nginxへの接続 (172.XX. XX.48:80)
    'index.html 'に保存する
    index.html 100% | **************************************************************************************************************************************************** | 612 0:00:00 ETA
    'index.html 'を保存しました 

手順3: ネットワークポリシーの設定

次のシナリオに基づいてネットワークポリシーを設定します。

シナリオ1: 特定のラベルを持つアプリケーションのみがサービスにアクセスできるようにする

  1. vimを実行するpolicy.yamlという名前のファイルを作成するには、policy.yamlを次のYAMLテンプレートに置き換えます。

    vim policy.yaml

    次のコードブロックは、YAMLテンプレートの内容を示しています。

    kind: NetworkPolicy
    apiVersion: networking.k8s.io/v1
    metadata:
      name: access-nginx
    spec:
      podSelector:
        matchLabels:
          run: nginx
      ingress:
      - from:
        - podSelector:
            matchLabels:
              access: "true"
  2. 次のコマンドを実行して、上記のpolicy.yamlファイルを使用してネットワークポリシーを作成します。

    kubectl apply -f policy.yaml

    期待される出力:

    networkpolicy.net working.k8s.io/access-nginx created
  3. 次のコマンドを実行して、nginxサービスにアクセスします。 指定されたラベルがポッドにないため、接続タイムアウトエラーが返されます。

    kubectl run busybox -- rm -ti -- image=busybox /bin/sh

    nginxサービスのアクセシビリティのテスト:

    wget nginx

    期待される出力:

    Connecting to nginx (172.19.XX.XX:80)
    wget: can't connect to remote host (172.19.XX.XX): Connection timed out
  4. 次のコマンドを実行して、指定したラベルをポッドに追加します。

    kubectl run busybox -- rm -ti -- labels="access=true" -- image=busybox /bin/sh

    nginxサービスのアクセシビリティのテスト:

    wget nginx

    期待される出力:

    Connecting to nginx (172.21.XX.XX:80)
    saving to 'index.html'
    index.html           100% |****************************************************************************************************************************************************|   612  0:00:00 ETA
    'index.html' saved

    出力は、接続の進行が100% であることを示す。 これは、ポッドが期待どおりにnginxサービスにアクセスできることを示します。

シナリオ2: 特定の送信元IPアドレスのみがインターネット接続SLBインスタンスを介してサービスにアクセスできるようにする

  1. 次のコマンドを実行して、前述のnginxアプリケーション用のSLBインスタンスを作成します。 インターネット経由でアプリケーションにアクセスできるようにするには、サービスタイプをLoadBalancerに設定します。

    vim nginx-service.yaml

    この例では、nginx-service.yamlという名前のファイルが使用されています。

    # Copy the following YAML content to the nginx-service.yaml file: 
    apiVersion: v1
    kind: Service
    metadata:
      labels:
        run: nginx
      name: nginx-slb
    spec:
      externalTrafficPolicy: Local
      ports:
      - port: 80
        protocol: TCP
        targetPort: 80
      selector:
        run: nginx
      type: LoadBalancer

    次のコマンドを実行し、nginx-service.yamlファイルを使用してネットワークポリシーを作成します。

    kubectl apply -f nginx-service.yaml

    期待される出力:

    service/nginx-slb created

    nginxサービスを使用してアプリケーションが公開されているかどうかを確認します。

    kubectl get service nginx-slb

    期待される出力:

    NAME        TYPE           CLUSTER-IP      EXTERNAL-IP      PORT(S)        AGE
    nginx-slb   LoadBalancer   172.19.xx.xxx   47.110.xxx.xxx   80:32240/TCP   8m
  2. 次のコマンドを実行して、作成されたSLBインスタンスのIPアドレスに接続します。47.110.xxx.xxx 出力は接続が失敗したことを示します。

    wget 47.110.xxx.xxx

    期待される出力:

    --2018-11-21 11:46:05--  http://47.110.xx.xxx/
    Connecting to 47.110.XX.XX:80... failed: Connection refused.
    説明

    次の理由で接続に失敗しました。

    • nginxサービスには、access=trueラベルを持つアプリケーションのみがアクセスできます。

    • オンプレミスマシンからSLBインスタンスのIPアドレスに接続すると、Kubernetesクラスターの外部からnginxサービスにアクセスします。 これは、ネットワークポリシーを使用して、指定されたラベルを持つアプリケーションのみがnginxサービスにアクセスできるようにする場合と同じではありません。

    解決策: ネットワークポリシーを変更して、送信元IPアドレスがnginxサービスにアクセスできるようにします。

  3. 次のコマンドを実行して、オンプレミスマシンのIPアドレスを照会します。

    cur l myip.ipip.net

    期待される出力:

    IP address: 10.0.x.x. From: China Beijing Beijing        # This is an example. Use the actual IP address.

  4. 次のコマンドを実行して、policy.yamlファイルを変更します。

    vim policy.yaml

    policy.yamlファイルの例:

    # The following content is an example of the YAML file. 
    kind: NetworkPolicy
    apiVersion: networking.k8s.io/v1
    metadata:
      name: access-nginx
    spec:
      podSelector:
        matchLabels:
          run: nginx
      ingress:
      - from:
        - podSelector:
            matchLabels:
              access: "true"
        - ipBlock:
            cidr: 100.64.0.0/10
        - ipBlock:
            cidr: 10.0.0.1/24      # This is an example. Use the actual IP address.

    次のコマンドを実行して、上記のpolicy.yamlファイルを使用してネットワークポリシーを作成します。

    kubectl apply -f policy.yaml

    期待される出力:

    networkpolicy.networking.k8s.io/access-nginx unchanged
    説明
    • 要求は、異なるIPアドレスから来ることができる。 したがって、マスク長が24のCIDRブロックを指定します。

    • SLBがヘルスチェックに使用するIPアドレスは、100.64.0.0/10 CIDRブロック内にあります。 したがって、必ず100.64.0.0/10をルールに追加してください。

  5. 次のコマンドを実行して、nginxサービスにプロビジョニングされるリソースを作成します。

    kubectl run busybox -- rm -ti -- labels="access=true" -- image=busybox /bin/sh

    nginxサービスにアクセスする:

    wget 47.110.XX.XX

    期待される出力:

    Connecting to 47.110.XX.XX (47.110.XX.XX:80)
    index.html           100% |***********************************************************|   612  0:00:00 ETA

    出力が100% を示す場合、これはnginxサービスにアクセスできることを示します。

シナリオ3: ポッドが特定のアドレスにアクセスできるようにする

  1. 次のコマンドを実行して、www.aliyun.comが解決されるIPアドレスを照会します。

    dig + shor t www.aliyun.com

    期待される出力:

    www-jp-de-intl-adns.aliyun.com.
    www-jp-de-intl-adns.aliyun.com.gds.alibabadns.com.
    v6wagbridge.aliyun.com.
    v6wagbridge.aliyun.com.gds.alibabadns.com.
    106.XX.XX.21
    140.XX.XX.4
    140.XX.XX.13
    140.XX.XX.3
  2. 次のコマンドを実行して、busybox-policyという名前のファイルを作成します。

    vim busybox-policy.yaml

    busybox-policyファイルの例:

    # The following content is a sample YAML file. 
    kind: NetworkPolicy
    apiVersion: networking.k8s.io/v1
    metadata:
      name: busybox-policy
    spec:
      podSelector:
        matchLabels:
          run: busybox
      egress:
      - to:
        - ipBlock:
            cidr: 106.XX.XX.21/32
        - ipBlock:
            cidr: 140.XX.XX.4/32
        - ipBlock:
            cidr: 140.XX.XX.13/32
        - ipBlock:
            cidr: 140.XX.XX.3/32
      - to:
        - ipBlock:
            cidr: 0.0.0.0/0
        - namespaceSelector: {}
        ports:
        - protocol: UDP
          port: 53
    説明

    エグレスルールは、アプリケーションからのアウトバウンドアクセスを制限するためにbusybox-policyファイルで構成されています。 アプリケーションがUDPポート53にアクセスできるようにする必要があります。 それ以外の場合、ドメインネームシステム (DNS) 解決は機能しません。

  3. 次のコマンドを実行して、busybox-policyファイルに基づいてネットワークポリシーを作成します。

    kubectl apply -f busybox-policy.yaml

    期待される出力:

    networkpolicy.networking.k8s.io/busybox-policy created
  4. 次のコマンドを実行して、busyboxアプリケーションを作成します。

    kubectl run busybox --rm -ti --image=busybox /bin/sh

    アクセスwww.aliyun.com以外のWebサイト (www.taobao.comなど):

    wge t www.taobao.com

    期待される出力:

    Connecting to www.taobao.com (64.13.XX.XX:80)
    wget: can't connect to remote host (64.13.XX.XX): Connection timed out

    出力には、[リモートホストに接続できません] メッセージが表示されます。 これは、アプリケーションがドメイン名にアクセスできなかったことを示します。

  5. 次のコマンドを実行してwww.aliyun.comにアクセスします。

    wge t www.aliyun.com

    期待される出力:

    Connecting to www.aliyun.com (140.205.XX.XX:80)
    Connecting to www.aliyun.com (140.205.XX.XX:443)
    wget: note: TLS certificate validation not implemented
    index.html           100% |***********************************************************|  462k  0:00:00 ETA

    出力は、接続の進行が100% であることを示す。 これは、アプリケーションが期待どおりにドメイン名にアクセスできることを示します。

シナリオ4: 特定の名前空間でのインターネットへのポッドアクセスの制御

説明

このセクションの操作は、インターネットと通信するサービスに影響を与える可能性があります。 次の操作を実行するには、空の名前空間を作成することを推奨します。

  1. 次のコマンドを実行して、テスト用の名前空間を作成します。

    test-npという名前の名前空間を作成します。

    kubectl create ns test-np

    期待される出力:

    namespace/test-np created
  2. 次のコマンドを実行して、test-np名前空間のポッドが内部サービスのみにアクセスできるようにするデフォルトのネットワークポリシーを作成します。

    vim default-deny.yaml

    default-deny.yamlファイルの例:

    # The following content is a sample YAML file. 
    kind: NetworkPolicy
    apiVersion: networking.k8s.io/v1
    metadata:
      namespace: test-np
      name: deny-public-net
    spec:
      podSelector: {}
      ingress:
      - from:
        - ipBlock:
            cidr: 0.0.0.0/0
      egress:
      - to:
        - ipBlock:
            cidr: 192.168.0.0/16
        - ipBlock:
            cidr: 172.16.0.0/12
        - ipBlock:
            cidr: 10.0.0.0/8

    default-deny.yamlファイルを使用してネットワークポリシーが作成されているか確認してください。

    kubectl apply -f default-deny.yaml

    期待される出力:

    networkpolicy.net working.k8s.io/deny-public-net created

    ネットワークポリシーを表示する:

    kubectl get networkpolicy -n test-np

    期待される出力:

    NAME                              POD-SELECTOR          AGE
    deny-public-net                   <none>                1m
  3. 次のコマンドを実行して、特定のラベルを持つポッドがインターネットにアクセスできるようにします。

    vim allow-specify-label.yaml

    この例では、public-network=trueラベルが使用されます。

    # The following content is a sample YAML file. 
    kind: NetworkPolicy
    apiVersion: networking.k8s.io/v1
    metadata:
      name: allow-public-network-for-labels
      namespace: test-np
    spec:
      podSelector:
        matchLabels:
          public-network: "true"
      ingress:
      - from:
        - ipBlock:
            cidr: 0.0.0.0/0
      egress:
      - to:
        - ipBlock:
            cidr: 0.0.0.0/0
        - namespaceSelector:
            matchLabels:
              ns: kube-system

    次のコマンドを実行して、ネットワークポリシーを作成します。

    kubectl apply -f allow-specify-label.yaml

    期待される出力:

    networkpolicy.net working.k8s.io/allow-public-network-for-labels created

    ネットワークポリシーを表示する:

    kubectl get networkpolicy -n test-np

    期待される出力:

    NAME                              POD-SELECTOR          AGE
    allow-public-network-for-labels   public-network=true    1m
    deny-public-net                   <none>                 3m
  4. 次のコマンドを実行して、指定されたラベルのないポッドがインターネットにアクセスできないことを確認します。

    kubectl run -it -- namespace test-np -- rm -- image busybox busybox-intranet
    ping aliyun.com

    期待される出力:

    PING aliyun.com (106.11.2xx.xxx): 56 data bytes
    ^C
    --- aliyun.com ping statistics ---
    9 packets transmitted, 0 packets received, 100% packet loss

    出力は、0パケット受信を示す。 これは、ポッドがインターネットにアクセスできなかったことを示します。

    説明

    deny-public-netネットワークポリシーではtest-np名前空間のポッドがインターネットにアクセスできないため、ポッドはインターネットにアクセスできませんでした。 したがって、デフォルトラベルのポッドはインターネットにアクセスできません。

  5. 次のコマンドを実行して、public-network=trueラベルを持つポッドがインターネットにアクセスできることを確認します。

    kubectl run -it --namespace test-np --labels public-network=true --rm --image busybox  busybox-internet
    ping aliyun.com

    期待される出力:

    PING aliyun.com (106.11.1xx.xx): 56 data bytes
    64 bytes from 106.11.1xx.xx: seq=0 ttl=47 time=4.235 ms
    64 bytes from 106.11.1xx.xx: seq=1 ttl=47 time=4.200 ms
    64 bytes from 106.11.1xx.xx: seq=2 ttl=47 time=4.182 ms
    ^C
    --- aliyun.com ping statistics ---
    3 packets transmitted, 3 packets received, 0% packet loss
    round-trip min/avg/max = 4.182/4.205/4.235 ms

    出力は0% パケット損失を示す。 これは、ポッドがインターネットにアクセスできることを示します。

    説明

    allow-public-network-for-labelsネットワークポリシーでは、public-network=trueラベルを持つポッドがインターネットにアクセスできるため、ポッドはインターネットにアクセスできます。 busybox-internetのポッドにはこのラベルが付いているため、インターネットにアクセスできます。