0

我根据https://github.com/ahmetb/kubernetes-network-policy-recipes及其工作 fidn 创建和实施了网络策略,但是我想了解这到底是如何在后端实现的,如何网络策略允许或拒绝流量,通过修改 iptables ?哪些 kubernetes 组件参与实现此功能?

4

2 回答 2

1

“这取决于”。这取决于实际执行设置的控制器,这通常(但不总是)是 CNI 插件的一部分。

最常见的实现是 Calico 的Felix daemon,它支持多个后端,但 iptables 是一个常见的。其他插件使用 eBPF 网络程序或其他防火墙子系统来达到类似的效果。

于 2020-04-27T05:56:49.973 回答
1

网络策略由网络插件(例如 calico)实现,最常见的是通过在 Kubernetes 节点上设置 Linux Iptables Netfilter 规则。

这里的文档

在 Calico 方法中,进出工作负载的 IP 数据包由工作负载主机上的 Linux 路由表和 iptables 基础设施路由和防火墙。对于发送数据包的工作负载,Calico 确保主机始终作为下一跳 MAC 地址返回,而不管工作负载本身可能配置什么路由。对于寻址到工作负载的数据包,最后一个 IP 跃点是从目标工作负载的主机到工作负载本身

印花布数据路径

于 2020-04-27T05:48:45.680 回答