仅允许出口到互联网

Allow Egress only to internet

我有一个边缘服务。此服务需要通过 Internet 向某处发送一些内容。

我正在使用 Canal CNI。

我可以定义一个 NetworkPolicy 来允许 出口到互联网,而不是集群的其余部分吗?

像下面这样的东西会起作用:

kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
  name: only-allow-internet
spec:
  policyTypes:
    - Egress
  # match all pods in the namespace
  podSelector: {}
  egress:
    - to:
        - ipBlock:
            # allow all IPs
            cidr: 0.0.0.0/0
            except:
              # except the private IP ranges: https://en.wikipedia.org/wiki/Private_network
              - 10.0.0.0/8
              - 192.168.0.0/16
              - 172.16.0.0/20

它允许所有 IP(因为每个 IP 都匹配 0.0.0.0/0),但 IANA 定义为私有 IP 范围的私有 IP 范围除外。

请注意,这也会破坏 DNS 查找,因为默认情况下 kubernetes pods 使用 Kubernetes 中的 DNS 服务器。您可以通过 运行 在 pod 中使用以下命令 来验证它:

$ nslookup google.com
$ nslookup google.com 8.8.8.8

第一个会超时,而第二个会工作。

默认情况下,Kubernetes DNS IP 为 10.96.0.10。您可以通过检查 pod 中的 /etc/resolv.conf 来验证它。因此,如果您希望 DNS 查找工作,您可能需要进一步自定义 NetworkPolicy,定义更具体的 IP 范围以允许 DNS 查找。

或者,您可以在容器定义级别定义 DNS。详情在这里:https://kubernetes.io/docs/concepts/services-networking/dns-pod-service/#pod-s-dns-config

此外,您不能阻止所有私有 IP 范围,而只能阻止集群 pod/service 范围。您可以在 kube-apiserver 参数中找到它们。