深入理解Kubernetes网络策略 kubernetes的网络方案

【摘要】当我们逐渐向着微服务、云原生迈进的时候，传统静态的、相对简单的网络安全策略开始显得吃力。 Kubernetes 的 Network Policy 特性正是来解决这个问题的。在刚刚出炉不久的1.7版本中，该特性也被扶正成为GA。让我们来一起看看 Network Policy 是什么，能为我们做什么，以及是如何实现的。

• CNI

Kubernetes 对网络做了较好的抽象。它将对网络的需求交给外部的组件完成，也就是 CNI driver。

Pod 的网络必须满足以下三个需求：

1. 所有 Pod 之间无需 NAT 即可互通

2. 主机和 Pod 之间无需 NAT 即可互通

3. Pod 自省的 IP 地址和之外部看到该 Pod 的地址一致

CNI 对网络的实现做了详细的定义。CNI 的实现可以被分成三种：

1. 3 层路由实现

2. Overlay 实现

3. 2 层交换实现

现在比较常用的 CNI 实现有：Flannel、Calico、Weave。 Flannel 通过 VXLan Overlay 来实现跨主机 Pod 网络， Calico 则完全通过 3 层路由来实现了跨主机的容器网络，Weave也是 Overlay 的实现。

• 什么是Network Policy

随着业务逻辑的复杂化，微服务的流行，越来越多的云服务平台需要大量模块之间的网络调用。

传统的单一外部防火墙，或依照应用分层的防火墙的做法渐渐无法满足需求。在一个大的集群里面，各模块，业务逻辑层，或者各个职能团队之间的网络策略的需求越来越强。

Kubernetes 在 1.3 引入了 Network Policy 这个功能来解决这个问题。这些 Policy 允许用户在同一个 Cluster 内实现网络的隔离。也就是在某些需要的 Pod 之间架起防火墙。可以简单的理解为各个微服务之间的动态防火墙。也有人把这叫做分布式防火墙。

并非所有的网络驱动都支持这个功能。比如大家比较熟悉的，比较流行的 Flannel 就还没有加入对 Network Policy 的支持。Calico 和 Weave 都各自实现了 NPC（network policy controller）。虽然 Flannel 不支持 Network Policy。但是，可以使用 Flannel 提供网络方案，同时使用 Calico 或者Weave 的 NPC 组件来共同完成。Canal 就提供了将 Flannel 和 Calico NPC 组合的方案。

• DEMO

下面我们就以Calico为基础，给大家做一个demo。

这里我已经搭好了一个 Kubernetes 的简单的集群：只有一个 master 和两个 minion。我们先来部署 Calico。这里要注意的是，由于我们要 demo 的是最新的 Kubernetes API，我们必须使用 Kubernetes 1.7 和 Calico 2.3，并且，Calico只能配置成 Kubernetes Datastore 的模式。在这种模式下，Calico 对网络状态的控制是通过 Kubernetes API 来完成的。另外还有一种模式是通过 etcd 集群。那种模式暂时还不支持最新的API。Kubernetes Datastore 这种方式有时也叫做KDD — Kubernetes datastore driver。

在进行 KDD 模式的 Calico 安装时要注意以下这么几点：

1. IPAM 要使用 host-local

2. 通过 controller manager 来分配 CIDR

细节请点击：http://docs.projectcalico.org/ ... tore/

配置好 Calico之后，我们来看一个简单的 demo，实际操作一下 Network Policy：

为了简单起见，我们会直接使用 default namespace。如果你在一个现有的环境里面， 可以将以下的命令在一个独立的 namespace 里面运行。

创建 namespace 使用这个命令：

kubectl create ns np-demo

接下来运行一个简单的 nginx deployment 并用80端口暴露服务：

kubectl run nginx --replicas=2 --image=nginx

现在我们还没有做任何的限制，所以 Kubernetes 缺省情况是所有 Pod 都是开放的。

我们来用一个 BusyBox 的 Pod 验证一下：

kubectl run busy --rm -ti --image busybox /bin/sh

上面的 Wget 命令是在 BusyBox 这个 Pod 里面执行的。-q 和 -O - 的组合会使这个命令在命令行输出 nginx 的缺省首页，这表明我们的验证是成功的。用 Ctl-D 退出容器。

接下来我们就要加入限制了。我们的做法是先限制对所有 Pod 的访问，然后建立白名单。 kubectl apply下面的 YAML 文件就可以限制所有访问：

kind: NetworkPolicy

注意我们提供了一个空的 podSelector。

我们再试着用之前的 BusyBox 的方式来访问一下：

kubectl run busy --rm -ti --image busybox /bin/sh

这此我们设置了 5 秒的超时。因为访问被拒接，所以确实会超时：

wget: download timed out

好，我们的第一个 Network Policy 已经生效了。然而，限制对所有 Pod 的访问显然是没有意义的。接下来我们建立一个白名单 . apply 下面的 YAML 文件:

kind: NetworkPolicy

这个 Network Policy 的意思是：标签 run:access 选中的 Pod 可以访问标签 run:nginx 的 Pod，也就是我们 demo 开始时创建的 Nginx 的 Pod。这些 label 都是 kubectl run 命令自动 添加的。

接下来我们试试看能否成功地访问了：

kubectl run access --rm -ti --image busybox /bin/sh

我们依然会看到熟悉的 Nginx 缺省首页。如果我们运行一个不符合上述 selector 的 Pod，就无法访问。这个留给有兴趣的同学自己回去验证。

如果你接触过 1.7 之前的 Network Policy 的话，你可能会发现这里的 API 有些不同。Kubernetes 1.7 已经将 Network Policy 正式提升到 GA。

正式的 API 和之前的 API 区别有：

1. 不再使用 Annotation 来表达 default-deny 等这样的规则

2. API version 从 extension/beta1 升级到了 networking.k8s.io/v1

实现

Calico 的实现是基于 iptables 的。在每个 chain 的顶端，Calico 都插入了一条定制的 chain，从而使得 packet 优先经过 Calico 定义的规则。我们在其中一个 minion 上面运行 iptables-save -c 就可以检查这些规则。可以看出 kube-proxy 和 Calico 都定义了大量的 iptable 规则。

这里细节很多，我们只需要关注这几点：

Calico 使用 conntrack 来优化。就是说，一旦一个连接已经建立，之后的packet都会直接被允许通过。比如：

-A cali-fw-cali7af3f94d3a1 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

名为 cali-pi-xxxx 的规则是负责 Network Policy Ingress 的。我们可以想见，如果我们定义了很多 Policy，一个一个单独定义的规则会导致性能下降。这里 Calico 利用了 iptables 的 ipset 特性。使得一个 rule 可以通过 hash 表来匹配多种地址。

-A cali-pi-_G7e-YAvXRsfDoqGDf36 -m set --match-set cali4-s:2I5R46OBA_TBIUlpH0dCd_n src -j MARK --set-xmark 0x1000000/0x1000000

Weave 的实现也类似。底层还是使用了 iptables 和 netfilter。Weave 也创建了自定义的 chain。但由于一个是 Overlay 一个是路由，规则还是有些不同的。

另外一个细微的不同是，Weave使用了 -m state 而不是 -m conntrack。conntrack 是比较新的语法，但实际使用中功能是一样的。下面是几个 Weave 安装的 iptables rules 的例子：

FORWARD chain: