centos上k8s的網絡策略設置

在CentOS上配置Kubernetes（k8s）的網絡策略，可以確保集群內的Pod之間按照預期的規則進行通信。以下是詳細的步驟和示例：

1. 安裝Kubernetes

首先，確保你已經在CentOS上安裝了Kubernetes集群。你可以使用kubeadm來快速搭建一個單節點或多節點的集群。

# 安裝kubeadm, kubelet和kubectl
sudo yum install -y kubeadm kubelet kubectl --disable-gpg-check

# 啟動kubelet服務
sudo systemctl enable kubelet
sudo systemctl start kubelet

# 初始化單節點集群
sudo kubeadm init --pod-network-cidr=10.244.0.0/16

# 按照提示完成初始化過程

2. 部署網絡插件

為了支持網絡策略，你需要部署一個支持網絡策略的網絡插件。常用的網絡插件有Calico、Cilium等。這里以Calico為例：

# 下載Calico的YAML文件
kubectl apply -f https://docs.projectcalico.org/v3.25/manifests/calico.yaml

# 等待Calico Pod啟動
kubectl get pods -n kube-system | grep calico

3. 創建網絡策略

網絡策略定義了哪些Pod可以相互通信以及如何通信。以下是一個簡單的示例，限制只有來自特定標簽的Pod才能訪問目標Pod。

示例：限制訪問

假設你有一個名為web的Deployment，你希望只有帶有標簽role=frontend的Pod才能訪問它。

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-frontend
spec:
  podSelector:
    matchLabels:
      app: web
  policyTypes:
  - Ingress
  ingress:
  - from:
    - podSelector:
        matchLabels:
          role: frontend
    ports:
    - protocol: TCP
      port: 80

保存上述內容到一個文件中，例如allow-frontend.yaml，然后應用它：

kubectl apply -f allow-frontend.yaml

示例：限制出站訪問

假設你希望限制web Deployment中的Pod只能訪問特定的外部IP地址。

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: restrict-egress
spec:
  podSelector:
    matchLabels:
      app: web
  policyTypes:
  - Egress
  egress:
  - to:
    - ipBlock:
        cidr: 192.168.1.0/24
    ports:
    - protocol: TCP
      port: 80

保存上述內容到一個文件中，例如restrict-egress.yaml，然后應用它：

kubectl apply -f restrict-egress.yaml

4. 驗證網絡策略

你可以通過以下命令查看網絡策略的狀態：

kubectl get networkpolicy

你也可以通過嘗試訪問Pod來驗證網絡策略是否生效。例如，嘗試從一個沒有role=frontend標簽的Pod訪問web Deployment中的Pod，應該會被拒絕。

總結

通過以上步驟，你可以在CentOS上配置Kubernetes的網絡策略，確保集群內的Pod之間按照預期的規則進行通信。根據你的具體需求，可以創建更復雜的網絡策略來滿足不同的安全需求。