Kubernetesネットワークポリシーを使用して、ポリシーベースのアクセス制御を実装できます。 IPアドレスまたはポートに基づいて特定のアプリケーションへのネットワークトラフィックを制御する場合は、ネットワークポリシーを設定できます。 このトピックでは、ACKサーバーレスクラスターでのネットワークポリシーの使用シナリオについて説明します。
前提条件
ACK管理クラスターまたはACK専用クラスターが作成されます。 詳細については、「ACK管理クラスターの作成」および「ACK専用クラスターの作成」をご参照ください。
重要ACK ProクラスターとACKサーバーレスクラスターは、異なるコンポーネントを使用してネットワークポリシーを実装します。
エラスティックコンテナインスタンスを含まないACK Proクラスターでは、ネットワークポリシーはTerwayを使用して実装されます。 詳細については、「手順1: ネットワークポリシーの有効化」をご参照ください。
ACK Serverless clusterまたはACK Pro clusterのエラスティックコンテナインスタンスでは、ネットワークポリシーはPoseidonを使用して実装されます。 以下の内容は、実装についての詳細を説明する。
ACK仮想ノードコンポーネントを2.10.0以降に更新する必要があります。 詳細については、「コンポーネントの管理」をご参照ください。
使用状況ノート
ネットワークポリシーは、ACK Serverless ProクラスターとACK Proクラスターでのみ使用できます。
ネットワークポリシーはIPv6アドレスをサポートしていません。
ネットワークポリシーはendPortフィールドをサポートしていません。
ネットワークポリシーでラベルセレクターを使用して、名前空間とポッドを選択できます。 クラスターに多数のネットワークポリシーを作成する場合、ネットワークポリシーのルールに対してリクエストを照合するプロセスに時間がかかります。 さらに、クラスターに多数のネットワークポリシーがある場合、クラスターの管理とトラブルシューティングが複雑になります。 クラスターに40未満のネットワークポリシーを作成することを推奨します。
ステップ1: ネットワークポリシーの有効化
ACK Serverless Proクラスターのネットワークポリシーを有効にするには、次の操作を実行します。
Poseidonコンポーネントをインストールします。
ACKコンソールにログインします。 左側のナビゲーションウィンドウで、[クラスター] をクリックします。
[クラスター] ページで、管理するクラスターの名前をクリックします。 左側のナビゲーションウィンドウで、 を選択します。
[アドオン] ページで、[ネットワーク] タブをクリックします。 Poseidonカードで、[インストール] をクリックします。
[Poseidonのインストール] ダイアログボックスで、[エラスティックコンテナインスタンスのネットワークポリシー機能の有効化] を選択し、[OK] をクリックします。
コンポーネントをインストールすると、カードの右上隅にインストール済みが表示されます。
ACKコンソールの使用
ACKコンソールにログインします。 左側のナビゲーションウィンドウで、[クラスター] をクリックします。
On theクラスターページで、管理するクラスターの名前をクリックし、 左側のナビゲーションウィンドウに表示されます。
[デプロイメント] タブで、[イメージから作成] をクリックします。 [作成] ページで、nginxという名前のアプリケーションを作成し、サービスを使用してアプリケーションを公開します。 アプリケーションの設定が完了したら、[作成] をクリックします。
次の表の説明に基づいて次のパラメーターを設定し、他のパラメーターにはデフォルト設定を使用できます。 詳細については、「」をご参照ください。イメージからのデプロイの作成.
パラメーター
説明
例
基本情報
名前
カスタムアプリケーション名を指定します。
nginx
レプリカ
ビジネス要件に基づいて値を指定します。
1
Container
イメージ名
コンテナイメージの名前を指定します。
nginx: 最新
高度
サービス
[サービス] の右側にある [作成] をクリックします。 [サービスの作成] ダイアログボックスで、パラメーターを設定します。
名前: nginx
データ型:
Server Load Balancer
パブリックアクセス
SLBインスタンスの作成
ポートマッピング:
名前: nginx
サービスポート: 80
コンテナポート: 80
プロトコル: TCP
[デプロイメント] ページに戻り、[イメージから作成] をクリックします。 [作成] ページで、busyboxという名前のクライアントアプリケーションを作成し、前の手順で作成したnginxサービスのアクセシビリティをテストします。
次の表の説明に基づいて、busyboxクライアントアプリケーションに次のパラメーターを設定し、他のパラメーターにはデフォルト設定を使用できます。 詳細については、「」をご参照ください。イメージからのデプロイの作成.
パラメーター
説明
例
基本情報
名前
カスタムアプリケーション名を指定します。
busybox
レプリカ
ビジネス要件に基づいて値を指定します。
1
コンテナー開始パラメーター
イメージ名
コンテナイメージの名前を指定します。
busybox: 最新
コンテナー開始パラメーター
なし。
stdinとttyを選択します。
busyboxクライアントアプリケーションがnginx Serviceにアクセスできるかどうかを確認します。
[デプロイメント] ページで、busyboxアプリケーションを見つけ、その名前をクリックします。
[ポッド] ページで、busybox-{hash value} という名前のポッドを選択し、[操作] 列の [ターミナル] をクリックします。
ターミナルで、
wget nginx
コマンドを実行してnginxサービスにアクセスします。上記の出力は、busyboxがnginx Serviceにアクセスできることを示しています。
CLIの使用
次のコマンドを実行して、nginxという名前のアプリケーションを作成します。 次に、nginxという名前のサービスを作成して、アプリケーションを公開します。
nginxという名前のアプリケーションを作成します。
kubectl run nginx -- image=nginx
期待される出力:
pod/nginx作成
アプリケーションのポッドが起動しているかどうかを照会します。
kubectl getポッド
期待される出力:
の名前準備ができているステータスの履歴書 nginx 1/1ランニング0 45s
nginxという名前のサービスを作成します。
kubectl公開ポッドnginx -- port=80
期待される出力:
service/nginx公開
サービスを見る:
kubectl getサービス
期待される出力:
名タイプCLUSTER-IP EXTERNAL-IPポート年齢 kubernetes ClusterIP 172.XX. XX.1 <none> 443/TCP 30m nginx ClusterIP 172.XX. XX.48 <none> 80/TCP 12s
次のコマンドを実行してbusyboxという名前のポッドを作成し、そのポッドを使用してnginxサービスにアクセスします。
kubectl run busybox -- rm -ti -- image=busybox /bin/sh
期待される出力:
コマンドプロンプトが表示されない場合は、enterキーを押してみてください。 / # / #
nginxサービスを取得します。
コマンドプロンプトが表示されない場合は、enterキーを押してみてください。 /# / # wget nginx# wget nginxを入力します。
期待される出力:
nginxへの接続 (172.XX. XX.48:80) 'index.html 'に保存する index.html 100% | **************************************************************************************************************************************************** | 612 0:00:00 ETA 'index.html 'を保存しました
手順3: ネットワークポリシーの設定
次のシナリオに基づいてネットワークポリシーを設定します。
シナリオ1: 特定のラベルを持つアプリケーションのみがサービスにアクセスできるようにする
vimを実行する
policy.yaml
という名前のファイルを作成するには、policy.yamlを次のYAMLテンプレートに置き換えます。vim policy.yaml
次のコードブロックは、YAMLテンプレートの内容を示しています。
kind: NetworkPolicy apiVersion: networking.k8s.io/v1 metadata: name: access-nginx spec: podSelector: matchLabels: run: nginx ingress: - from: - podSelector: matchLabels: access: "true"
次のコマンドを実行して、上記のpolicy.yamlファイルを使用してネットワークポリシーを作成します。
kubectl apply -f policy.yaml
期待される出力:
networkpolicy.net working.k8s.io/access-nginx created
次のコマンドを実行して、nginxサービスにアクセスします。 指定されたラベルがポッドにないため、接続タイムアウトエラーが返されます。
kubectl run busybox -- rm -ti -- image=busybox /bin/sh
nginxサービスのアクセシビリティのテスト:
wget nginx
期待される出力:
Connecting to nginx (172.19.XX.XX:80) wget: can't connect to remote host (172.19.XX.XX): Connection timed out
次のコマンドを実行して、指定したラベルをポッドに追加します。
kubectl run busybox -- rm -ti -- labels="access=true" -- image=busybox /bin/sh
nginxサービスのアクセシビリティのテスト:
wget nginx
期待される出力:
Connecting to nginx (172.21.XX.XX:80) saving to 'index.html' index.html 100% |****************************************************************************************************************************************************| 612 0:00:00 ETA 'index.html' saved
出力は、接続の進行が100% であることを示す。 これは、ポッドが期待どおりにnginxサービスにアクセスできることを示します。
シナリオ2: 特定の送信元IPアドレスのみがインターネット接続SLBインスタンスを介してサービスにアクセスできるようにする
次のコマンドを実行して、前述のnginxアプリケーション用のSLBインスタンスを作成します。 インターネット経由でアプリケーションにアクセスできるようにするには、サービスタイプを
LoadBalancer
に設定します。vim nginx-service.yaml
この例では、nginx-service.yamlという名前のファイルが使用されています。
# Copy the following YAML content to the nginx-service.yaml file: apiVersion: v1 kind: Service metadata: labels: run: nginx name: nginx-slb spec: externalTrafficPolicy: Local ports: - port: 80 protocol: TCP targetPort: 80 selector: run: nginx type: LoadBalancer
次のコマンドを実行し、nginx-service.yamlファイルを使用してネットワークポリシーを作成します。
kubectl apply -f nginx-service.yaml
期待される出力:
service/nginx-slb created
nginxサービスを使用してアプリケーションが公開されているかどうかを確認します。
kubectl get service nginx-slb
期待される出力:
NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE nginx-slb LoadBalancer 172.19.xx.xxx 47.110.xxx.xxx 80:32240/TCP 8m
次のコマンドを実行して、作成されたSLBインスタンスのIPアドレスに接続します。47.110.xxx.xxx 出力は接続が失敗したことを示します。
wget 47.110.xxx.xxx
期待される出力:
--2018-11-21 11:46:05-- http://47.110.xx.xxx/ Connecting to 47.110.XX.XX:80... failed: Connection refused.
説明次の理由で接続に失敗しました。
nginxサービスには、
access=true
ラベルを持つアプリケーションのみがアクセスできます。オンプレミスマシンからSLBインスタンスのIPアドレスに接続すると、Kubernetesクラスターの外部からnginxサービスにアクセスします。 これは、ネットワークポリシーを使用して、指定されたラベルを持つアプリケーションのみがnginxサービスにアクセスできるようにする場合と同じではありません。
解決策: ネットワークポリシーを変更して、送信元IPアドレスがnginxサービスにアクセスできるようにします。
次のコマンドを実行して、オンプレミスマシンのIPアドレスを照会します。
cur l myip.ipip.net
期待される出力:
IP address: 10.0.x.x. From: China Beijing Beijing # This is an example. Use the actual IP address.
次のコマンドを実行して、policy.yamlファイルを変更します。
vim policy.yaml
policy.yamlファイルの例:
# The following content is an example of the YAML file. kind: NetworkPolicy apiVersion: networking.k8s.io/v1 metadata: name: access-nginx spec: podSelector: matchLabels: run: nginx ingress: - from: - podSelector: matchLabels: access: "true" - ipBlock: cidr: 100.64.0.0/10 - ipBlock: cidr: 10.0.0.1/24 # This is an example. Use the actual IP address.
次のコマンドを実行して、上記のpolicy.yamlファイルを使用してネットワークポリシーを作成します。
kubectl apply -f policy.yaml
期待される出力:
networkpolicy.networking.k8s.io/access-nginx unchanged
説明要求は、異なるIPアドレスから来ることができる。 したがって、マスク長が24のCIDRブロックを指定します。
SLBがヘルスチェックに使用するIPアドレスは、
100.64.0.0/10
CIDRブロック内にあります。 したがって、必ず100.64.0.0/10
をルールに追加してください。
次のコマンドを実行して、nginxサービスにプロビジョニングされるリソースを作成します。
kubectl run busybox -- rm -ti -- labels="access=true" -- image=busybox /bin/sh
nginxサービスにアクセスする:
wget 47.110.XX.XX
期待される出力:
Connecting to 47.110.XX.XX (47.110.XX.XX:80) index.html 100% |***********************************************************| 612 0:00:00 ETA
出力が100% を示す場合、これはnginxサービスにアクセスできることを示します。
シナリオ3: ポッドが特定のアドレスにアクセスできるようにする
次のコマンドを実行して、www.aliyun.comが解決されるIPアドレスを照会します。
dig + shor t www.aliyun.com
期待される出力:
www-jp-de-intl-adns.aliyun.com. www-jp-de-intl-adns.aliyun.com.gds.alibabadns.com. v6wagbridge.aliyun.com. v6wagbridge.aliyun.com.gds.alibabadns.com. 106.XX.XX.21 140.XX.XX.4 140.XX.XX.13 140.XX.XX.3
次のコマンドを実行して、busybox-policyという名前のファイルを作成します。
vim busybox-policy.yaml
busybox-policyファイルの例:
# The following content is a sample YAML file. kind: NetworkPolicy apiVersion: networking.k8s.io/v1 metadata: name: busybox-policy spec: podSelector: matchLabels: run: busybox egress: - to: - ipBlock: cidr: 106.XX.XX.21/32 - ipBlock: cidr: 140.XX.XX.4/32 - ipBlock: cidr: 140.XX.XX.13/32 - ipBlock: cidr: 140.XX.XX.3/32 - to: - ipBlock: cidr: 0.0.0.0/0 - namespaceSelector: {} ports: - protocol: UDP port: 53
説明エグレスルールは、アプリケーションからのアウトバウンドアクセスを制限するためにbusybox-policyファイルで構成されています。 アプリケーションがUDPポート53にアクセスできるようにする必要があります。 それ以外の場合、ドメインネームシステム (DNS) 解決は機能しません。
次のコマンドを実行して、busybox-policyファイルに基づいてネットワークポリシーを作成します。
kubectl apply -f busybox-policy.yaml
期待される出力:
networkpolicy.networking.k8s.io/busybox-policy created
次のコマンドを実行して、busyboxアプリケーションを作成します。
kubectl run busybox --rm -ti --image=busybox /bin/sh
アクセスwww.aliyun.com以外のWebサイト (www.taobao.comなど):
wge t www.taobao.com
期待される出力:
Connecting to www.taobao.com (64.13.XX.XX:80) wget: can't connect to remote host (64.13.XX.XX): Connection timed out
出力には、[リモートホストに接続できません] メッセージが表示されます。 これは、アプリケーションがドメイン名にアクセスできなかったことを示します。
次のコマンドを実行してwww.aliyun.comにアクセスします。
wge t www.aliyun.com
期待される出力:
Connecting to www.aliyun.com (140.205.XX.XX:80) Connecting to www.aliyun.com (140.205.XX.XX:443) wget: note: TLS certificate validation not implemented index.html 100% |***********************************************************| 462k 0:00:00 ETA
出力は、接続の進行が100% であることを示す。 これは、アプリケーションが期待どおりにドメイン名にアクセスできることを示します。
シナリオ4: 特定の名前空間でのインターネットへのポッドアクセスの制御
このセクションの操作は、インターネットと通信するサービスに影響を与える可能性があります。 次の操作を実行するには、空の名前空間を作成することを推奨します。
次のコマンドを実行して、テスト用の名前空間を作成します。
test-npという名前の名前空間を作成します。
kubectl create ns test-np
期待される出力:
namespace/test-np created
次のコマンドを実行して、test-np名前空間のポッドが内部サービスのみにアクセスできるようにするデフォルトのネットワークポリシーを作成します。
vim default-deny.yaml
default-deny.yamlファイルの例:
# The following content is a sample YAML file. kind: NetworkPolicy apiVersion: networking.k8s.io/v1 metadata: namespace: test-np name: deny-public-net spec: podSelector: {} ingress: - from: - ipBlock: cidr: 0.0.0.0/0 egress: - to: - ipBlock: cidr: 192.168.0.0/16 - ipBlock: cidr: 172.16.0.0/12 - ipBlock: cidr: 10.0.0.0/8
default-deny.yamlファイルを使用してネットワークポリシーが作成されているか確認してください。
kubectl apply -f default-deny.yaml
期待される出力:
networkpolicy.net working.k8s.io/deny-public-net created
ネットワークポリシーを表示する:
kubectl get networkpolicy -n test-np
期待される出力:
NAME POD-SELECTOR AGE deny-public-net <none> 1m
次のコマンドを実行して、特定のラベルを持つポッドがインターネットにアクセスできるようにします。
vim allow-specify-label.yaml
この例では、
public-network=true
ラベルが使用されます。# The following content is a sample YAML file. kind: NetworkPolicy apiVersion: networking.k8s.io/v1 metadata: name: allow-public-network-for-labels namespace: test-np spec: podSelector: matchLabels: public-network: "true" ingress: - from: - ipBlock: cidr: 0.0.0.0/0 egress: - to: - ipBlock: cidr: 0.0.0.0/0 - namespaceSelector: matchLabels: ns: kube-system
次のコマンドを実行して、ネットワークポリシーを作成します。
kubectl apply -f allow-specify-label.yaml
期待される出力:
networkpolicy.net working.k8s.io/allow-public-network-for-labels created
ネットワークポリシーを表示する:
kubectl get networkpolicy -n test-np
期待される出力:
NAME POD-SELECTOR AGE allow-public-network-for-labels public-network=true 1m deny-public-net <none> 3m
次のコマンドを実行して、指定されたラベルのないポッドがインターネットにアクセスできないことを確認します。
kubectl run -it -- namespace test-np -- rm -- image busybox busybox-intranet
ping aliyun.com
期待される出力:
PING aliyun.com (106.11.2xx.xxx): 56 data bytes ^C --- aliyun.com ping statistics --- 9 packets transmitted, 0 packets received, 100% packet loss
出力は、0パケット受信を示す。 これは、ポッドがインターネットにアクセスできなかったことを示します。
説明deny-public-netネットワークポリシーではtest-np名前空間のポッドがインターネットにアクセスできないため、ポッドはインターネットにアクセスできませんでした。 したがって、デフォルトラベルのポッドはインターネットにアクセスできません。
次のコマンドを実行して、public-network=trueラベルを持つポッドがインターネットにアクセスできることを確認します。
kubectl run -it --namespace test-np --labels public-network=true --rm --image busybox busybox-internet
ping aliyun.com
期待される出力:
PING aliyun.com (106.11.1xx.xx): 56 data bytes 64 bytes from 106.11.1xx.xx: seq=0 ttl=47 time=4.235 ms 64 bytes from 106.11.1xx.xx: seq=1 ttl=47 time=4.200 ms 64 bytes from 106.11.1xx.xx: seq=2 ttl=47 time=4.182 ms ^C --- aliyun.com ping statistics --- 3 packets transmitted, 3 packets received, 0% packet loss round-trip min/avg/max = 4.182/4.205/4.235 ms
出力は0% パケット損失を示す。 これは、ポッドがインターネットにアクセスできることを示します。
説明allow-public-network-for-labelsネットワークポリシーでは、public-network=trueラベルを持つポッドがインターネットにアクセスできるため、ポッドはインターネットにアクセスできます。 busybox-internetのポッドにはこのラベルが付いているため、インターネットにアクセスできます。