36 | 为什么说Kubernetes只有soft multi-tenancy?
张磊

你好,我是张磊。今天我和你分享的主题是:为什么说 Kubernetes 只有 soft multi-tenancy?
在前面的文章中,我为你详细讲解了 Kubernetes 生态里,主流容器网络方案的工作原理。
不难发现,Kubernetes 的网络模型,以及前面这些网络方案的实现,都只关注容器之间网络的“连通”,却并不关心容器之间网络的“隔离”。这跟传统的 IaaS 层的网络方案,区别非常明显。
你肯定会问了,Kubernetes 的网络方案对“隔离”到底是如何考虑的呢?难道 Kubernetes 就不管网络“多租户”的需求吗?
接下来,在今天这篇文章中,我就来回答你的这些问题。
在 Kubernetes 里,网络隔离能力的定义,是依靠一种专门的 API 对象来描述的,即:NetworkPolicy。
一个完整的 NetworkPolicy 对象的示例,如下所示:
我在和你分享前面的内容时已经说过(这里你可以再回顾下第 34 篇文章《Kubernetes 网络模型与 CNI 网络插件》中的相关内容),Kubernetes 里的 Pod 默认都是“允许所有”(Accept All)的,即:Pod 可以接收来自任何发送方的请求;或者,向任何接收方发送请求。而如果你要对这个情况作出限制,就必须通过 NetworkPolicy 对象来指定。
公开
同步至部落
取消
完成
0/2000
笔记
复制
AI
- 深入了解
- 翻译
- 解释
- 总结
仅可试看部分内容,如需阅读全部内容,请付费购买文章所属专栏
《深入剖析 Kubernetes》,新⼈⾸单¥68
《深入剖析 Kubernetes》,新⼈⾸单¥68
立即购买
© 版权归极客邦科技所有,未经许可不得传播售卖。 页面已增加防盗追踪,如有侵权极客邦将依法追究其法律责任。
登录 后留言
全部留言(35)
- 最新
- 精选
- 风轨job,cronjob这类计算型pod不需要也不应该对外提供服务,可以拒绝所有流入流量,提高系统安全。
作者回复: 对
114 - swordholderiptables -A FORWARD -d $podIP -m physdev --physdev-is-bridged -j KUBE-POD-SPECIFIC-FW-CHAIN 文中提到,上面这条iptables规则的作用是:“拦截”在同一个宿主机、接入同一个bridge上的容器发送过来的数据包。 iptables设置的是IP包被过滤处理的规则,而bridge是二层设备,数据包在bridge上的流动,如果受到上面规则的控制,就是说iptables还能设置二层链路的过滤规则?
作者回复: 文中提了,实际有ebtables的参与
12 - po老师你好,我想确认下基于ovs的网络,是不是不用iptables了,使用openflow实现networkpolicy,使用vni实现多租户,谢谢。
作者回复: iptables 在svc还会用到
3 - OldGood老师,什么时候讲ingress?
作者回复: 很快
1 - johnson.skiii张大请教一下;本来kube-proxy就会写大量的iptables规则,如果网络情况复杂,实施的networkpolicy又多的话,那么iptables会不会成为比较大的瓶颈,有什么好的解决方案吗?517
- helloworld文章中对iptables的讲解, 是我见过的对iptables讲解的最好的一个, 厉害13
- CYHhi,老师:请问我安照k8s官网拒绝所有进出流量,为什么该pod还是能ping通外部的ip呢?24
- Jerome2021-11-23,第四遍学习打卡。23
- lfn2020-04-06,打卡。3
- heartbeat任何 Namespace 里的、携带了 project=myproject 标签的 Pod; namespaceselector应该是选择namespace的吧,project=myproject这个标签应该是匹配namespace的而不是匹配pod的,所以上面那个解释应该是携带了project=myproject 标签的所有namespace下的所有pod 不知道这个理解是否正确12
收起评论