网络策略
从 3.0.0 版本开始,用户可以在 KubeSphere 中配置原生 Kubernetes 的网络策略。网络策略是一种以应用为中心的结构,使您能够指定如何允许容器组通过网络与各种网络实体进行通信。通过网络策略,用户可以在同一集群内实现网络隔离,这意味着可以在某些实例(容器组)之间设置防火墙。
备注
- 在启用之前,请确保集群使用的 CNI 网络插件支持网络策略。支持网络策略的 CNI 网络插件有很多,包括 Calico、Cilium、Kube-router、Romana 和 Weave Net 等。
- 建议您在启用网络策略之前,使用 Calico 作为 CNI 插件。
有关更多信息,请参见网络策略。
在安装前启用网络策略
在 Linux 上安装
当您在 Linux 上安装多节点 KubeSphere 时,需要创建一个配置文件,该文件列出了所有 KubeSphere 组件。
在在 Linux 上安装 KubeSphere 时,您需要创建一个默认文件
config-sample.yaml
。执行以下命令修改该文件:vi config-sample.yaml
备注
如果您采用 All-in-One 安装,则不需要创建config-sample.yaml
文件,因为可以直接创建集群。一般来说,All-in-One 模式是为那些刚接触 KubeSphere 并希望熟悉系统的用户而准备的。如果您想在该模式下启用网络策略(例如用于测试),可以参考下面的部分,查看如何在安装后启用网络策略。在该文件中,搜索
network.networkpolicy
,并将enabled
的false
改为true
。完成后保存文件。network: networkpolicy: enabled: true # 将“false”更改为“true”。
使用配置文件创建一个集群:
./kk create cluster -f config-sample.yaml
在 Kubernetes 上安装
当您在 Kubernetes 上安装 KubeSphere 时,需要先在 cluster-configuration.yaml 文件中启用网络策略。
下载 cluster-configuration.yaml 文件,然后打开并开始编辑。
vi cluster-configuration.yaml
在该本地
cluster-configuration.yaml
文件中,搜索network.networkpolicy
,并将enabled
的false
改为true
。完成后保存文件。network: networkpolicy: enabled: true # 将“false”更改为“true”。
执行以下命令开始安装:
kubectl apply -f https://github.com/kubesphere/ks-installer/releases/download/v3.4.1/kubesphere-installer.yaml kubectl apply -f cluster-configuration.yaml
在安装后启用网络策略
以
admin
身份登录控制台。点击左上角的平台管理,选择集群管理。点击定制资源定义,在搜索栏中输入
clusterconfiguration
。点击结果查看其详细页面。信息
定制资源定义(CRD)允许用户在不新增 API 服务器的情况下创建一种新的资源类型,用户可以像使用其他 Kubernetes 原生对象一样使用这些定制资源。在自定义资源中,点击
ks-installer
右侧的 ,选择编辑 YAML。在该 YAML 文件中,搜寻到
network.networkpolicy
,将enabled
的false
改为true
。完成后,点击右下角的确定,保存配置。network: networkpolicy: enabled: true # 将“false”更改为“true”。
在 kubectl 中执行以下命令检查安装过程:
kubectl logs -n kubesphere-system $(kubectl get pod -n kubesphere-system -l 'app in (ks-install, ks-installer)' -o jsonpath='{.items[0].metadata.name}') -f
备注
您可以通过点击控制台右下角的 找到 kubectl 工具。
验证组件的安装
如果您能在网络中看到网络策略,说明安装成功。
反馈
这篇文章对您有帮助吗?
通过邮件接收 KubeSphere 最新的技术博客与产品更新的通知
感谢您的反馈。如果您有关于如何使用 KubeSphere 的具体问题,请在 Slack 上提问。如果您想报告问题或提出改进建议,请在 GitHub 存储库中打开问题。