Начиная с сетевой политики Calico в Kubernetes

У меня есть приложение, работающее с оркестратором Kubernetes. Я хочу реализовать политику сети Calico на основе CIDR, чтобы я мог контролировать трафик модуля (входящий и исходящий). Я ищу предварительные условия установки (любой плагин) и какие изменения (файл calico yaml или файл манифеста) необходимы для этого.

Будем признательны за некоторые пояснения относительно шагов, которые необходимо выполнить.


kubernetes calico kubernetes-networkpolicy project-calico k3s
person solveit    schedule 22.06.2021    source источник

Ответы (2)


arrow_upward
1
arrow_downward

Что ж, предварительные условия зависят от того, хотите ли вы использовать простые Kubernetes NetworkPolicies. или Calico NetworkPolicies.

Вам потребуется развернуть подключаемый модуль CNI, который в любом случае реализует спецификацию NetworkPolicy. Calicao поддерживает простые NetPols, а также свою собственную реализацию NetPol.

  1. проверьте развернутый плагин CNI
  2. проверьте, реализует ли ваш развернутый плагин CNI сетевые политики
  3. создать ресурсы NetworkPolicy kubernetes и развернуть их
person meaningqo    schedule 22.06.2021
comment
Я хочу использовать сетевую политику Calico - person solveit; 22.06.2021
comment
затем проверьте, не развернут ли другой плагин cni. если есть, удалите его (k3s поставляется с traefik для функциональности cni, если я помню правильность), а затем разверните плагин calico cni (docs.projectcalico.org/getting-started/kubernetes/) и приступайте к созданию ваших сетевых политик :) - person meaningqo; 22.06.2021
comment
а как контролировать входящий и исходящий трафик на основе домена? Где я могу это найти? - person solveit; 23.06.2021
comment
проверьте документацию здесь (kubernetes.io/docs/concepts/services-networking/) есть примеры с cidr, которые вы хотели в соответствии с вашим вопросом - person meaningqo; 23.06.2021
comment
Этот документ описывает сетевую политику Kubernetes, будет ли она такой же для calico net.pol. также ? Ищу шаги для calico net.poli, с помощью которых я могу контролировать входящий и исходящий трафик на основе домена - person solveit; 23.06.2021

arrow_upward
1
arrow_downward

По умолчанию, как описано здесь, K3s работает с фланелевым CNI , используя VXLAN как серверную часть по умолчанию.

Чтобы изменить CNI, вам нужно запустить K3s с --flannel-backend=none. Для получения дополнительной информации посетите custom-CNI раздел документации.

Обратите внимание, что помимо ситца вы можете запустить канал CNI, который на самом деле является фланель с сетевыми политиками ситца.

person acid_fuji    schedule 22.06.2021