Questa pagina mostra come usare Ciglio per NetworkPolicy.
Per lo sfondo sul Ciglio, leggere l’introduzione al Ciglio.
Prima di iniziare
È necessario disporre di un cluster Kubernetes e lo strumento della riga di comando kubectl deve essere configurato per comunicare con il cluster. Se non hai già acluster, puoi crearne uno usandominikubeo puoi usare uno di questi campi da gioco Kubernetes:
- Katacoda
- Gioca con Kubernetes
Per controllare la versione, inserisci kubectl version
.
Distribuzione di Cilium su Minikube per i test di base
Per familiarizzare facilmente con Cilium puoi seguire la Guida introduttiva di Kubernetes Per eseguire un’installazione di base di DaemonSet di Cilium in minikube.
Per avviare minikube, la versione minima richiesta è > = v1. 3. 1, eseguire gli argomenti seguenti:
minikube version
minikube version: v1.3.1
minikube start --network-plugin=cni --memory=4096
Montare il filesystem BPF:
minikube ssh -- sudo mount bpffs -t bpf /sys/fs/bpf
Per minikube è possibile distribuire questo semplice “all-in-one” file YAML che includesDaemonSet configurazioni per Cilio nonché RBAC appropriate impostazioni:
kubectl create -f https://raw.githubusercontent.com/cilium/cilium/v1.8/install/kubernetes/quick-install.yaml
configmap/cilium-config createdserviceaccount/cilium createdserviceaccount/cilium-operator createdclusterrole.rbac.authorization.k8s.io/cilium createdclusterrole.rbac.authorization.k8s.io/cilium-operator createdclusterrolebinding.rbac.authorization.k8s.io/cilium createdclusterrolebinding.rbac.authorization.k8s.io/cilium-operator createddaemonset.apps/cilium createdeployment.apps/cilium-operator created
Il resto della Guida Introduttiva spiega come applicare sia L3/L4(cioè, l’indirizzo IP + porta) criteri di sicurezza, così come L7 (ad esempio, HTTP) securitypolicies utilizzando un’applicazione di esempio.
Distribuzione del Cilium per l’uso in produzione
Per istruzioni dettagliate sulla distribuzione del Cilium per la produzione, vedere:Cilium Kubernetes Guida all’installazionequesta documentazione include requisiti dettagliati, istruzioni e exampleproduction DaemonSet file.
Comprensione dei componenti Cilium
La distribuzione di un cluster con Cilium aggiunge Pod allo spazio dei nomi kube-system
. Per vedere questo elenco di Pod eseguito:
kubectl get pods --namespace=kube-system
Vedrai un elenco di Pod simili a questo:
NAME READY STATUS RESTARTS AGEcilium-6rxbd 1/1 Running 0 1m...
Un pod cilium
viene eseguito su ciascun nodo del cluster e applica la politica di rete sul traffico da/verso Pod su quel nodo utilizzando Linux BPF.
Una volta che il cluster è in esecuzione, è possibile seguire la politica di rete Diclare Per provare Kubernetes NetworkPolicy con Ciglio.Buon divertimento, e se avete domande, contattarci utilizzando Ilcilium Slack Channel.
Feedback
Questa pagina è stata utile?
YesNo
Grazie per il feedback. Se hai una domanda specifica e rispondente su come usare Kubernetes, chiedilo onStack Overflow.Aprire un problema nel repository GitHub se si desidera segnalare un problemo suggerire un miglioramento.