ACKサーバーレスクラスターでネットワークポリシーを使用する -

Kubernetesネットワークポリシーを使用して、ポリシーベースのアクセス制御を実装できます。 IPアドレスまたはポートに基づいて特定のアプリケーションへのネットワークトラフィックを制御する場合は、ネットワークポリシーを設定できます。このトピックでは、ACKサーバーレスクラスターでのネットワークポリシーの使用シナリオについて説明します。

前提条件

ACK管理クラスターまたはACK専用クラスターが作成されます。詳細については、「ACK管理クラスターの作成」および「ACK専用クラスターの作成」をご参照ください。
重要
ACK ProクラスターとACKサーバーレスクラスターは、異なるコンポーネントを使用してネットワークポリシーを実装します。
- エラスティックコンテナインスタンスを含まないACK Proクラスターでは、ネットワークポリシーはTerwayを使用して実装されます。詳細については、「手順1: ネットワークポリシーの有効化」をご参照ください。
- ACK Serverless clusterまたはACK Pro clusterのエラスティックコンテナインスタンスでは、ネットワークポリシーはPoseidonを使用して実装されます。以下の内容は、実装についての詳細を説明する。
ACK仮想ノードコンポーネントを2.10.0以降に更新する必要があります。詳細については、「コンポーネントの管理」をご参照ください。
クラスターのkubeconfigファイルが取得され、kubectlを介してクラスターに接続するために使用されます。

使用状況ノート

ネットワークポリシーは、ACK Serverless ProクラスターとACK Proクラスターでのみ使用できます。
ネットワークポリシーはIPv6アドレスをサポートしていません。
ネットワークポリシーはendPortフィールドをサポートしていません。
ネットワークポリシーでラベルセレクターを使用して、名前空間とポッドを選択できます。クラスターに多数のネットワークポリシーを作成する場合、ネットワークポリシーのルールに対してリクエストを照合するプロセスに時間がかかります。さらに、クラスターに多数のネットワークポリシーがある場合、クラスターの管理とトラブルシューティングが複雑になります。クラスターに40未満のネットワークポリシーを作成することを推奨します。

ステップ1: ネットワークポリシーの有効化

ACK Serverless Proクラスターのネットワークポリシーを有効にするには、次の操作を実行します。

Poseidonコンポーネントをインストールします。
1. ACKコンソールにログインします。左側のナビゲーションウィンドウで、[クラスター] をクリックします。
2. [クラスター] ページで、管理するクラスターの名前をクリックします。左側のナビゲーションウィンドウで、[操作] > [アドオン] を選択します。
3. [アドオン] ページで、[ネットワーク] タブをクリックします。 Poseidonカードで、[インストール] をクリックします。
4. [Poseidonのインストール] ダイアログボックスで、[エラスティックコンテナインスタンスのネットワークポリシー機能の有効化] を選択し、[OK] をクリックします。
  コンポーネントをインストールすると、カードの右上隅にインストール済みが表示されます。

ACKコンソールの使用

ACKコンソールにログインします。左側のナビゲーションウィンドウで、[クラスター] をクリックします。
On theクラスターページで、管理するクラスターの名前をクリックし、ワークロード > デプロイメント左側のナビゲーションウィンドウに表示されます。

[デプロイメント] タブで、[イメージから作成] をクリックします。 [作成] ページで、nginxという名前のアプリケーションを作成し、サービスを使用してアプリケーションを公開します。アプリケーションの設定が完了したら、[作成] をクリックします。

次の表の説明に基づいて次のパラメーターを設定し、他のパラメーターにはデフォルト設定を使用できます。詳細については、「」をご参照ください。イメージからのデプロイの作成.

パラメーター		説明	例
基本情報	名前	カスタムアプリケーション名を指定します。	nginx
基本情報	レプリカ	ビジネス要件に基づいて値を指定します。	1
Container	イメージ名	コンテナイメージの名前を指定します。	nginx: 最新
高度	サービス	[サービス] の右側にある [作成] をクリックします。 [サービスの作成] ダイアログボックスで、パラメーターを設定します。	名前: nginx
			データ型： Server Load Balancer パブリックアクセス SLBインスタンスの作成
			ポートマッピング: 名前: nginx サービスポート: 80 コンテナポート: 80 プロトコル: TCP

[デプロイメント] ページに戻り、[イメージから作成] をクリックします。 [作成] ページで、busyboxという名前のクライアントアプリケーションを作成し、前の手順で作成したnginxサービスのアクセシビリティをテストします。

次の表の説明に基づいて、busyboxクライアントアプリケーションに次のパラメーターを設定し、他のパラメーターにはデフォルト設定を使用できます。詳細については、「」をご参照ください。イメージからのデプロイの作成.

パラメーター		説明	例
基本情報	名前	カスタムアプリケーション名を指定します。	busybox
基本情報	レプリカ	ビジネス要件に基づいて値を指定します。	1
コンテナー開始パラメーター	イメージ名	コンテナイメージの名前を指定します。	busybox: 最新
コンテナー開始パラメーター	コンテナー開始パラメーター	なし。	stdinとttyを選択します。

busyboxクライアントアプリケーションがnginx Serviceにアクセスできるかどうかを確認します。
1. [デプロイメント] ページで、busyboxアプリケーションを見つけ、その名前をクリックします。
2. [ポッド] ページで、busybox-{hash value} という名前のポッドを選択し、[操作] 列の [ターミナル] をクリックします。
3. ターミナルで、wget nginxコマンドを実行してnginxサービスにアクセスします。
  上記の出力は、busyboxがnginx Serviceにアクセスできることを示しています。

CLIの使用

次のコマンドを実行して、nginxという名前のアプリケーションを作成します。次に、nginxという名前のサービスを作成して、アプリケーションを公開します。
nginxという名前のアプリケーションを作成します。
```
kubectl run nginx -- image=nginx
```
期待される出力:
```
pod/nginx作成
```
アプリケーションのポッドが起動しているかどうかを照会します。
```
kubectl getポッド
```
期待される出力:
```
の名前準備ができているステータスの履歴書
nginx 1/1ランニング0 45s 
```
nginxという名前のサービスを作成します。
```
kubectl公開ポッドnginx -- port=80
```
期待される出力:
```
service/nginx公開
```
サービスを見る:
```
kubectl getサービス
```
期待される出力:
```
名タイプCLUSTER-IP EXTERNAL-IPポート年齢
kubernetes ClusterIP 172.XX. XX.1 <none> 443/TCP 30m
nginx ClusterIP 172.XX. XX.48 <none> 80/TCP 12s 
```

次のコマンドを実行してbusyboxという名前のポッドを作成し、そのポッドを使用してnginxサービスにアクセスします。

kubectl run busybox -- rm -ti -- image=busybox /bin/sh

期待される出力:

コマンドプロンプトが表示されない場合は、enterキーを押してみてください。
/ #
/ #

nginxサービスを取得します。

コマンドプロンプトが表示されない場合は、enterキーを押してみてください。
/#
/ # wget nginx# wget nginxを入力します。

期待される出力:

nginxへの接続 (172.XX. XX.48:80)
'index.html 'に保存する
index.html 100% | **************************************************************************************************************************************************** | 612 0:00:00 ETA
'index.html 'を保存しました

手順3: ネットワークポリシーの設定

次のシナリオに基づいてネットワークポリシーを設定します。

シナリオ1: 特定のラベルを持つアプリケーションのみがサービスにアクセスできるようにする

vimを実行するpolicy.yamlという名前のファイルを作成するには、policy.yamlを次のYAMLテンプレートに置き換えます。

vim policy.yaml

次のコードブロックは、YAMLテンプレートの内容を示しています。

kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
  name: access-nginx
spec:
  podSelector:
    matchLabels:
      run: nginx
  ingress:
  - from:
    - podSelector:
        matchLabels:
          access: "true"

次のコマンドを実行して、上記のpolicy.yamlファイルを使用してネットワークポリシーを作成します。
```
kubectl apply -f policy.yaml
```
期待される出力:
```
networkpolicy.net working.k8s.io/access-nginx created
```
次のコマンドを実行して、nginxサービスにアクセスします。指定されたラベルがポッドにないため、接続タイムアウトエラーが返されます。
```
kubectl run busybox -- rm -ti -- image=busybox /bin/sh
```
nginxサービスのアクセシビリティのテスト:
```
wget nginx
```
期待される出力:
```
Connecting to nginx (172.19.XX.XX:80)
wget: can't connect to remote host (172.19.XX.XX): Connection timed out
```

次のコマンドを実行して、指定したラベルをポッドに追加します。

kubectl run busybox -- rm -ti -- labels="access=true" -- image=busybox /bin/sh

nginxサービスのアクセシビリティのテスト:

wget nginx

期待される出力:

Connecting to nginx (172.21.XX.XX:80)
saving to 'index.html'
index.html           100% |****************************************************************************************************************************************************|   612  0:00:00 ETA
'index.html' saved

出力は、接続の進行が100% であることを示す。これは、ポッドが期待どおりにnginxサービスにアクセスできることを示します。

シナリオ2: 特定の送信元IPアドレスのみがインターネット接続SLBインスタンスを介してサービスにアクセスできるようにする

次のコマンドを実行して、前述のnginxアプリケーション用のSLBインスタンスを作成します。インターネット経由でアプリケーションにアクセスできるようにするには、サービスタイプをLoadBalancerに設定します。
```
vim nginx-service.yaml
```
この例では、nginx-service.yamlという名前のファイルが使用されています。
```
# Copy the following YAML content to the nginx-service.yaml file: 
apiVersion: v1
kind: Service
metadata:
  labels:
    run: nginx
  name: nginx-slb
spec:
  externalTrafficPolicy: Local
  ports:
  - port: 80
    protocol: TCP
    targetPort: 80
  selector:
    run: nginx
  type: LoadBalancer
```
次のコマンドを実行し、nginx-service.yamlファイルを使用してネットワークポリシーを作成します。
```
kubectl apply -f nginx-service.yaml
```
期待される出力:
```
service/nginx-slb created
```
nginxサービスを使用してアプリケーションが公開されているかどうかを確認します。
```
kubectl get service nginx-slb
```
期待される出力:
```
NAME        TYPE           CLUSTER-IP      EXTERNAL-IP      PORT(S)        AGE
nginx-slb   LoadBalancer   172.19.xx.xxx   47.110.xxx.xxx   80:32240/TCP   8m
```
次のコマンドを実行して、作成されたSLBインスタンスのIPアドレスに接続します。47.110.xxx.xxx 出力は接続が失敗したことを示します。
```
wget 47.110.xxx.xxx
```
期待される出力:
```
--2018-11-21 11:46:05--  http://47.110.xx.xxx/
Connecting to 47.110.XX.XX:80... failed: Connection refused.
```
説明
次の理由で接続に失敗しました。
nginxサービスには、access=trueラベルを持つアプリケーションのみがアクセスできます。
オンプレミスマシンからSLBインスタンスのIPアドレスに接続すると、Kubernetesクラスターの外部からnginxサービスにアクセスします。これは、ネットワークポリシーを使用して、指定されたラベルを持つアプリケーションのみがnginxサービスにアクセスできるようにする場合と同じではありません。
解決策: ネットワークポリシーを変更して、送信元IPアドレスがnginxサービスにアクセスできるようにします。

次のコマンドを実行して、オンプレミスマシンのIPアドレスを照会します。

cur l myip.ipip.net

期待される出力:

IP address: 10.0.x.x. From: China Beijing Beijing        # This is an example. Use the actual IP address.

次のコマンドを実行して、policy.yamlファイルを変更します。
```
vim policy.yaml
```
policy.yamlファイルの例:
```
# The following content is an example of the YAML file. 
kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
  name: access-nginx
spec:
  podSelector:
    matchLabels:
      run: nginx
  ingress:
  - from:
    - podSelector:
        matchLabels:
          access: "true"
    - ipBlock:
        cidr: 100.64.0.0/10
    - ipBlock:
        cidr: 10.0.0.1/24      # This is an example. Use the actual IP address.
```
次のコマンドを実行して、上記のpolicy.yamlファイルを使用してネットワークポリシーを作成します。
```
kubectl apply -f policy.yaml
```
期待される出力:
```
networkpolicy.networking.k8s.io/access-nginx unchanged
```
説明
- 要求は、異なるIPアドレスから来ることができる。したがって、マスク長が24のCIDRブロックを指定します。
- SLBがヘルスチェックに使用するIPアドレスは、100.64.0.0/10 CIDRブロック内にあります。したがって、必ず100.64.0.0/10をルールに追加してください。
次のコマンドを実行して、nginxサービスにプロビジョニングされるリソースを作成します。
```
kubectl run busybox -- rm -ti -- labels="access=true" -- image=busybox /bin/sh
```
nginxサービスにアクセスする:
```
wget 47.110.XX.XX
```
期待される出力:
```
Connecting to 47.110.XX.XX (47.110.XX.XX:80)
index.html           100% |***********************************************************|   612  0:00:00 ETA
```
出力が100% を示す場合、これはnginxサービスにアクセスできることを示します。

シナリオ3: ポッドが特定のアドレスにアクセスできるようにする

次のコマンドを実行して、www.aliyun.comが解決されるIPアドレスを照会します。

dig + shor t www.aliyun.com

期待される出力:

www-jp-de-intl-adns.aliyun.com.
www-jp-de-intl-adns.aliyun.com.gds.alibabadns.com.
v6wagbridge.aliyun.com.
v6wagbridge.aliyun.com.gds.alibabadns.com.
106.XX.XX.21
140.XX.XX.4
140.XX.XX.13
140.XX.XX.3

次のコマンドを実行して、busybox-policyという名前のファイルを作成します。

vim busybox-policy.yaml

busybox-policyファイルの例:

# The following content is a sample YAML file. 
kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
  name: busybox-policy
spec:
  podSelector:
    matchLabels:
      run: busybox
  egress:
  - to:
    - ipBlock:
        cidr: 106.XX.XX.21/32
    - ipBlock:
        cidr: 140.XX.XX.4/32
    - ipBlock:
        cidr: 140.XX.XX.13/32
    - ipBlock:
        cidr: 140.XX.XX.3/32
  - to:
    - ipBlock:
        cidr: 0.0.0.0/0
    - namespaceSelector: {}
    ports:
    - protocol: UDP
      port: 53

説明

エグレスルールは、アプリケーションからのアウトバウンドアクセスを制限するためにbusybox-policyファイルで構成されています。アプリケーションがUDPポート53にアクセスできるようにする必要があります。それ以外の場合、ドメインネームシステム (DNS) 解決は機能しません。

次のコマンドを実行して、busybox-policyファイルに基づいてネットワークポリシーを作成します。
```
kubectl apply -f busybox-policy.yaml
```
期待される出力:
```
networkpolicy.networking.k8s.io/busybox-policy created
```
次のコマンドを実行して、busyboxアプリケーションを作成します。
```
kubectl run busybox --rm -ti --image=busybox /bin/sh
```
アクセスwww.aliyun.com以外のWebサイト (www.taobao.comなど):
```
wge t www.taobao.com
```
期待される出力:
```
Connecting to www.taobao.com (64.13.XX.XX:80)
wget: can't connect to remote host (64.13.XX.XX): Connection timed out
```
出力には、[リモートホストに接続できません] メッセージが表示されます。これは、アプリケーションがドメイン名にアクセスできなかったことを示します。
次のコマンドを実行してwww.aliyun.comにアクセスします。
```
wge t www.aliyun.com
```
期待される出力:
```
Connecting to www.aliyun.com (140.205.XX.XX:80)
Connecting to www.aliyun.com (140.205.XX.XX:443)
wget: note: TLS certificate validation not implemented
index.html           100% |***********************************************************|  462k  0:00:00 ETA
```
出力は、接続の進行が100% であることを示す。これは、アプリケーションが期待どおりにドメイン名にアクセスできることを示します。

シナリオ4: 特定の名前空間でのインターネットへのポッドアクセスの制御

説明

このセクションの操作は、インターネットと通信するサービスに影響を与える可能性があります。次の操作を実行するには、空の名前空間を作成することを推奨します。

次のコマンドを実行して、テスト用の名前空間を作成します。
test-npという名前の名前空間を作成します。
```
kubectl create ns test-np
```
期待される出力:
```
namespace/test-np created
```

次のコマンドを実行して、test-np名前空間のポッドが内部サービスのみにアクセスできるようにするデフォルトのネットワークポリシーを作成します。

vim default-deny.yaml

default-deny.yamlファイルの例:

# The following content is a sample YAML file. 
kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
  namespace: test-np
  name: deny-public-net
spec:
  podSelector: {}
  ingress:
  - from:
    - ipBlock:
        cidr: 0.0.0.0/0
  egress:
  - to:
    - ipBlock:
        cidr: 192.168.0.0/16
    - ipBlock:
        cidr: 172.16.0.0/12
    - ipBlock:
        cidr: 10.0.0.0/8

default-deny.yamlファイルを使用してネットワークポリシーが作成されているか確認してください。

kubectl apply -f default-deny.yaml

期待される出力:

networkpolicy.net working.k8s.io/deny-public-net created

ネットワークポリシーを表示する:

kubectl get networkpolicy -n test-np

期待される出力:

NAME                              POD-SELECTOR          AGE
deny-public-net                   <none>                1m

次のコマンドを実行して、特定のラベルを持つポッドがインターネットにアクセスできるようにします。

vim allow-specify-label.yaml

この例では、public-network=trueラベルが使用されます。

# The following content is a sample YAML file. 
kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
  name: allow-public-network-for-labels
  namespace: test-np
spec:
  podSelector:
    matchLabels:
      public-network: "true"
  ingress:
  - from:
    - ipBlock:
        cidr: 0.0.0.0/0
  egress:
  - to:
    - ipBlock:
        cidr: 0.0.0.0/0
    - namespaceSelector:
        matchLabels:
          ns: kube-system

次のコマンドを実行して、ネットワークポリシーを作成します。

kubectl apply -f allow-specify-label.yaml

期待される出力:

networkpolicy.net working.k8s.io/allow-public-network-for-labels created

ネットワークポリシーを表示する:

kubectl get networkpolicy -n test-np

期待される出力:

NAME                              POD-SELECTOR          AGE
allow-public-network-for-labels   public-network=true    1m
deny-public-net                   <none>                 3m

次のコマンドを実行して、指定されたラベルのないポッドがインターネットにアクセスできないことを確認します。
```
kubectl run -it -- namespace test-np -- rm -- image busybox busybox-intranet
```
```
ping aliyun.com
```
期待される出力:
```
PING aliyun.com (106.11.2xx.xxx): 56 data bytes
^C
--- aliyun.com ping statistics ---
9 packets transmitted, 0 packets received, 100% packet loss
```
出力は、0パケット受信を示す。これは、ポッドがインターネットにアクセスできなかったことを示します。
説明
deny-public-netネットワークポリシーではtest-np名前空間のポッドがインターネットにアクセスできないため、ポッドはインターネットにアクセスできませんでした。したがって、デフォルトラベルのポッドはインターネットにアクセスできません。
次のコマンドを実行して、public-network=trueラベルを持つポッドがインターネットにアクセスできることを確認します。
```
kubectl run -it --namespace test-np --labels public-network=true --rm --image busybox  busybox-internet
```
```
ping aliyun.com
```
期待される出力:
```
PING aliyun.com (106.11.1xx.xx): 56 data bytes
64 bytes from 106.11.1xx.xx: seq=0 ttl=47 time=4.235 ms
64 bytes from 106.11.1xx.xx: seq=1 ttl=47 time=4.200 ms
64 bytes from 106.11.1xx.xx: seq=2 ttl=47 time=4.182 ms
^C
--- aliyun.com ping statistics ---
3 packets transmitted, 3 packets received, 0% packet loss
round-trip min/avg/max = 4.182/4.205/4.235 ms
```
出力は0% パケット損失を示す。これは、ポッドがインターネットにアクセスできることを示します。
説明
allow-public-network-for-labelsネットワークポリシーでは、public-network=trueラベルを持つポッドがインターネットにアクセスできるため、ポッドはインターネットにアクセスできます。 busybox-internetのポッドにはこのラベルが付いているため、インターネットにアクセスできます。