容器技术认证与金融IT开发容器云云计算深圳睿云智合

深圳睿云智合科技有限公司主要经营云计算软件与技术服务，主要产品有Rancher服务、云解决方案咨询、wisebuild、wiserun、wisemarket，Wise2C基于容器技术开发的新一代PaaS平台解决方案，目标是覆盖现代软件生产线的全流程，使用更开放，更灵活的平台技术，让客户应用开发，部署和运维更快捷，自动化。

当我们逐渐向着微服务、云原生迈进的时候，传统静态的、相对简单的网络安全策略开始显得吃力。 Kubernetes 的 Network Policy 特性正是来解决这个问题的。在刚刚出炉不久的1.7版本中，该特性也被扶正成为GA。让我们来一起看看 Network Policy 是什么，能为我们做什么，以及是如何实现的。

CNI


Kubernetes 对网络做了较好的抽象。它将对网络的需求交给外部的组件完成，也就是 CNI driver。

Pod 的网络满足以下三个需求：

1 所有 Pod 之间无需 NAT 即可互通
2 主机和 Pod 之间无需 NAT 即可互通
3 Pod 自省的 IP 地址和之外部看到该 Pod 的地址一致


CNI 对网络的实现做了详细的定义I 的实现可以被分成三种：

1 3 层路由实现
2 Overlay 实现
3 2 层交换实现


现在比较常用的 CNI 实现有：Flannel、Calico、Weave。 Flannel 通过 VXLan Overlay 来实现跨主机 Pod 网络， Calico 则完全通过 3 层路由来实现了跨主机的容器网络，Weave也是 Overlay 的实现。

什么是Network Policy


随着业务逻辑的复杂化，微服务的流行，越来越多的云服务平台需要大量模块之间的网络调用。

传统的单一外部防火墙，或依照应用分层的防火墙的做法渐渐无法满足需求。在一个大的集群里面，各模块，业务逻辑层，或者各个职能团队之间的网络策略的需求越来越强。

Kubernetes 在 1.3 引入了 Network Policy 这个功能来解决这个问题。这些 Policy 允许用户在同一个 Cluster 内实现网络的隔离。也就是在某些需要的 Pod 之间架起防火墙。可以简单的理解为各个微服务之间的动态防火墙。也有人把这叫做分布式防火墙。

并非所有的网络驱动都支持这个功能。比如大家比较熟悉的，比较流行的 Flannel 就还没有加入对 Network Policy 的支持。Calico 和 Weave 都各自实现了 NPC（network policy controller）。虽然 Flannel 不支持 Network Policy。但是，可以使用 Flannel 提供网络方案，同时使用 Calico 或者Weave 的 NPC 组件来共同完成。Canal 就提供了将 Flannel 和 Calico NPC 组合的方案。

联系人：张小姐
联系电话：
联系手机：
地址：广东省深圳市南山区粤海街道科技园高新南四道创维半导体设计大厦东座11楼A08
深圳睿云智合科技有限公司网站：