如何使用 Kubernetes 里的 NetworkPolicy

2021 年 12 月 29 日
本文字数：1317 字
阅读完需：约 4 分钟

创建一个类型为 NetworkPolicy 的 Kubernetes 对象的 yaml 文件。

第九行的 podSelector 指定这个 NetworkPolicy 施加在哪些 pod 上，通过 label 来做 pod 的过滤。

从第 16 行开始的 ingress 定义，定义了只有具备标签 component=ads,module=app 的 pod 才能够连接 component=ads, module=db 的 pod。

首先创建一个临时的 pod，使用正确的 label(component=ads,module=app)去访问 db pod：

kubectl run --restart=Never -it --rm --image=postgres:9.6 --labels="component=ads,module=app" --env="PGCONNECT_TIMEOUT=5" helper --command -- /bin/bash

执行完毕后看到提示 root@helper:/#, 说明我通过上述命令创建的临时 pod 成功的连接到了 postgreSQL 的 pod 上。

输入正确的用户名和密码，能成功连接到 postgreSQL pod 提供的数据库服务上。

现在我们重新创建一个临时 pod，不指定 label，因此不满足 NetworkPolicy 里定义的限制条件，因此会看到我们期望的结果：postgreSQL 连接失败。

希望通过例子大家能够理解 Kubernetes 里 NetworkPolicy 的工作原理。

通过一个例子学习 Kubernetes 里的 PersistentVolumeClaim 的用法

Kubernetes 的 pod 本身是无状态的（stateless）,生命周期通常比较短，只要出现了异常，Kubernetes 就会自动创建一个新的 Pod 来代替它。

而容器产生的数据，会随着 Pod 消亡而自动消失。

为了实现 Pod 内数据的存储管理，Kubernetes 引入了两个 API 资源：Persistent Volume（持久卷，以下简称 PV）和 Persistent Volume Claim（持久卷申请，以下简称 PVC）。

PV 是 Kubernetes 集群中的一种网络存储实现，跟 Node 一样，也是属于集群的资源。

PV 跟 Docker 里的 Volume(卷)类似，不过会有独立于 Pod 的生命周期。

使用 kubectl get pv 查看列表：

而 PVC 是用户的一个请求，跟 Pod 类似。Pod 消费 Node 的资源，PVC 消费 PV 的资源。

Pod 能够申请特定的资源（CPU 和内存）；PVC 能够申请特定的尺寸和访问模式，例如可以加载一个读写实例或者多个只读实例，（就是上图 kubectl get pvc 返回结果的 Access Mode 这一列的值 RWO, ROX 等等）而无须感知这些实例背后具体的存储实现。

我们来看一个具体的 PVC 实例，名称为 nginx-pvc:

kind: PersistentVolumeClaim apiVersion: v1 metadata: name: nginx-pvc spec: storageClassName: default accessModes: - ReadOnlyMany resources: requests: storage: 1Gi