Kubernetes集群网络策略配置与排错指南

一、集群网络策略简介

在咱们使用 Kubernetes 搭建集群的时候，网络策略就像是一个小区的保安系统。小区里有很多住户（就好比 Kubernetes 里的 Pod），保安系统可以控制谁能进出小区，哪些住户之间可以相互串门。Kubernetes 的网络策略就是用来控制 Pod 之间的网络通信的，它能让我们精确地规定哪些 Pod 可以和哪些 Pod 进行通信，以及可以使用哪些端口和协议。

比如说，我们有一个电商应用，它有前端 Pod、后端 Pod 和数据库 Pod。我们肯定不希望前端 Pod 直接和数据库 Pod 通信，只允许后端 Pod 去访问数据库 Pod。这时候，网络策略就能帮我们实现这个需求。

二、网络策略配置步骤

1. 创建网络策略对象

咱们先来看一个简单的网络策略示例，这里使用 YAML 格式来定义网络策略，技术栈就是 Kubernetes 的 YAML 配置。

# 定义一个网络策略对象
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-frontend-to-backend
  namespace: default
spec:
  podSelector:
    matchLabels:
      app: backend
  policyTypes:
  - Ingress
  ingress:
  - from:
    - podSelector:
        matchLabels:
          app: frontend
    ports:
    - protocol: TCP
      port: 8080

这个示例的意思是，在 default 命名空间里，创建一个叫做 allow-frontend-to-backend 的网络策略。这个策略只允许带有 app: frontend 标签的 Pod 访问带有 app: backend 标签的 Pod 的 8080 端口，并且只允许 TCP 协议。

2. 应用网络策略

创建好网络策略对象后，我们可以使用 kubectl 命令来应用这个策略。

kubectl apply -f network-policy.yaml

这里的 network-policy.yaml 就是我们上面创建的网络策略文件。执行这个命令后，Kubernetes 就会根据这个策略来控制 Pod 之间的网络通信。

三、网络策略应用场景

1. 隔离不同环境

在一个大型的 Kubernetes 集群里，可能会有开发环境、测试环境和生产环境。我们可以使用网络策略来隔离这些环境，防止不同环境之间的 Pod 相互干扰。比如说，开发环境的 Pod 不能直接访问生产环境的数据库 Pod。

# 隔离开发和生产环境的网络策略
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: isolate-dev-prod
  namespace: default
spec:
  podSelector:
    matchLabels:
      env: prod
  policyTypes:
  - Ingress
  ingress:
  - from:
    - podSelector:
        matchLabels:
          env: prod

这个策略只允许生产环境的 Pod 之间相互通信，开发环境的 Pod 无法访问生产环境的 Pod。

2. 保护敏感服务

有些服务可能包含敏感信息，比如数据库服务。我们可以使用网络策略来限制对这些服务的访问，只允许特定的 Pod 访问。

# 保护数据库服务的网络策略
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: protect-database
  namespace: default
spec:
  podSelector:
    matchLabels:
      app: database
  policyTypes:
  - Ingress
  ingress:
  - from:
    - podSelector:
        matchLabels:
          app: backend
    ports:
    - protocol: TCP
      port: 3306

这个策略只允许后端 Pod 访问数据库 Pod 的 3306 端口。

四、网络策略技术优缺点

优点

• 安全性高：通过精确控制 Pod 之间的网络通信，能有效防止网络攻击，保护集群的安全。就像小区的保安系统，能阻止陌生人随意进入。
• 灵活性强：可以根据不同的需求定制不同的网络策略，满足各种复杂的业务场景。比如我们可以根据标签、端口、协议等多种条件来定义策略。
• 易于管理：使用 YAML 文件来定义网络策略，很容易进行创建、修改和删除操作。

缺点

• 配置复杂：对于一些复杂的网络策略，配置起来可能会比较困难，需要对 Kubernetes 网络有深入的了解。
• 性能影响：过多的网络策略可能会影响集群的网络性能，因为 Kubernetes 需要花费更多的资源来处理这些策略。

五、网络策略排错方法

1. 检查网络策略是否生效

我们可以使用 kubectl 命令来检查网络策略是否已经应用到集群中。

kubectl get networkpolicies

这个命令会列出所有的网络策略，如果我们创建的网络策略在列表中，说明已经成功应用。

2. 查看 Pod 网络状态

我们可以使用 kubectl describe pod 命令来查看 Pod 的网络状态。

kubectl describe pod <pod-name>

这里的 <pod-name> 是我们要查看的 Pod 的名称。通过查看 Pod 的描述信息，我们可以了解 Pod 的网络配置和状态。

3. 测试网络连通性

我们可以使用 kubectl exec 命令在 Pod 内部执行网络测试命令，比如 ping 和 telnet。

kubectl exec -it <pod-name> -- ping <target-ip>
kubectl exec -it <pod-name> -- telnet <target-ip> <port>

这里的 <pod-name> 是我们要执行命令的 Pod 的名称，<target-ip> 是我们要测试的目标 IP 地址，<port> 是目标端口。通过这些测试，我们可以判断 Pod 之间的网络连通性是否正常。

六、注意事项

• 标签一致性：在定义网络策略时，要确保 Pod 的标签和网络策略中使用的标签一致。如果标签不一致，网络策略可能无法生效。
• 策略优先级：Kubernetes 中的网络策略是有优先级的，多个网络策略可能会相互影响。在定义网络策略时，要考虑策略之间的优先级关系。
• 测试环境验证：在将网络策略应用到生产环境之前，一定要在测试环境中进行充分的验证，确保策略不会影响业务的正常运行。

七、文章总结

Kubernetes 集群网络策略是一个非常重要的功能，它能帮助我们控制 Pod 之间的网络通信，提高集群的安全性和可靠性。通过合理配置网络策略，我们可以实现不同环境的隔离、保护敏感服务等功能。但是，网络策略的配置和排错也有一定的难度，需要我们对 Kubernetes 网络有深入的了解。在实际应用中，我们要注意标签一致性、策略优先级等问题，并且在测试环境中进行充分的验证。