Network Policy - 每天5分钟玩转 Docker 容器技术(171)
Network Policy 是 Kubernetes 的一种资源。Network Policy 通过 Label 选择 Pod,并指定其他 Pod 或外界如何与这些 Pod 通信。
默认情况下,所有 Pod 是非隔离的,即任何来源的网络流量都能够访问 Pod,没有任何限制。当为 Pod 定义了 Network Policy,只有 Policy 允许的流量才能访问 Pod。
不过,不是所有的 Kubernetes 网络方案都支持 Network Policy。比如 Flannel 就不支持,Calico 是支持的。我们接下来将用 Canal 来演示 Network Policy。Canal 这个开源项目很有意思,它用 Flannel 实现 Kubernetes 集群网络,同时又用 Calico 实现 Network Policy。
部署 Canal
部署 Canal 与部署其他 Kubernetes 网络方案非常类似,都是在执行了 kubeadm init
初始化 Kubernetes 集群之后通过 kubectl apply
安装相应的网络方案。也就是说,没有太好的办法直接切换使用不同的网络方案,基本上只能重新创建集群。
要销毁当前集群,最简单的方法是在每个节点上执行 kubeadm reset
。然后就可以按照我们在前面 “部署 Kubernetes Cluster” 一章的 “初始化 Master” 小节中的方法初始化集群。
kubeadm init --apiserver-advertise-address 192.168.56.105 --pod-network-cidr=10.244.0.0/16
然后按照文档 https://kubernetes.io/docs/setup/independent/create-cluster-kubeadm/ 安装 Canal。文档列出了各种网络方案的安装方法:
执行如下命令部署 Canal
kubectl apply -f https://raw.githubusercontent.com/projectcalico/canal/master/k8s-install/1.7/rbac.yaml
kubectl apply -f https://raw.githubusercontent.com/projectcalico/canal/master/k8s-install/1.7/canal.yaml
部署成功后,可以查看到 Canal 相关组件:
Canal 作为 DaemonSet 部署到每个节点,地属于 kube-system
这个 namespace。
Canal 准备就绪,下节我们将实践 Network Policy。
书籍:
1.《每天5分钟玩转Kubernetes》
https://item.jd.com/26225745440.html
2.《每天5分钟玩转Docker容器技术》
https://item.jd.com/16936307278.html
3.《每天5分钟玩转OpenStack》
https://item.jd.com/12086376.html
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
美国财富百强企业中50%使用 "创新引擎"OpenStack
三分之二的OpenStack部署现已全面进入生产领域,OpenStack人才需求猛涨,OpenStack社区发力可用性、稳定性与人才培训 2016年6月17日-北京- OpenStack基金会日前宣布,美国财富百强公司中50%目前采用了开源云操作系统OpenStack,覆盖金融服务、制造业、媒体、政府/高校研究、零售、科技与电信等多个行业。 实际上,为了应对各种工作负载,全球不同规模的公司都凭借一系列消费模型使用OpenStack。OpenStack作为开放的互操作平台,在全球公有云与私有云中被广泛部署。OpenStack是公认构建与运行应用的最佳基础设施,有效实现可移植性,并利用各种工具与服务组成大型生态系统。 2010年,OpenStack诞生于Rackspace与NASA的合作项目,现已在企业IT战略与服务供应商路线图中扮演基础性角色,将原生云软件开发与传统应用优化联系在一起。OpenStack是自动化计算、存储与网络连接的集成引擎,将一系列技术整合到一起,如虚机、裸机,以及包括Kubernetes 与Apache Mesos在内的容器编排等。 三分之二的OpenStack部署现...
- 下一篇
阿里云容器服务K8S Ingress Controller日志采集实践
在 Kubernetes Ingress 高可靠部署最佳实践 中从部署层面介绍了在Kubernetes集群中如何部署一套高可靠的Ingress接入层,同时Ingress作为所有集群服务请求的入口,其记录的请求日志对于整个请求跟踪链路至关重要,今天主要给大家分享下如何将K8S Ingress Controller日志采集到日志服务中,以便于检索分析服务请求情况。 环境准备 通过阿里云容器服务控制台申请K8S集群。 部署业务服务并配置Ingress对外提供访问。 采集到阿里云日志服务 当我们需要将Ingress Controller的日志采集到阿里云日志服务时,我们只需要简单通过下面几步即可完成: 部署Logtail DaemonSet 创建日志Project及配置机器组 配置容器采集配置LogtailConfig 详细说明可参考这里。 步骤一:部署Lo
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- Docker使用Oracle官方镜像安装(12C,18C,19C)
- CentOS8编译安装MySQL8.0.19
- CentOS8,CentOS7,CentOS6编译安装Redis5.0.7
- SpringBoot2整合MyBatis,连接MySql数据库做增删改查操作
- SpringBoot2整合Redis,开启缓存,提高访问速度
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- Hadoop3单机部署,实现最简伪集群
- CentOS7,CentOS8安装Elasticsearch6.8.6
- CentOS6,7,8上安装Nginx,支持https2.0的开启
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果