背景
随着容器、微服务、持续交付等云原生技术普及,大量应用基于K8s容器编排构建。相比传统网络模式,在云原生场景下,存在大量微服务模块间网络调用,集群内东西向通信流量激增,网络边界变得更加模糊。
容器环境中,容器IP和端口变换频繁,应用混合部署带来的通信关系复杂,传统基于静态IP和端口的边界安全规则已无法适用容器环境下细粒度的访问控制要求。默认情况下,K8s集群中不对Pod进行任何请求限制,任意Pod之间可以自由通信。正因此,在面对网络攻击时,没有安全规则的容器网络将给攻击者更多的自由和渗透空间。
如何实施容器间网络访问控制,打造安全的容器网络通信边界和通信架构,成为云原生时代关键的网络安全问题。为助力企业破局,腾讯云容器安全服务容器网络隔离功能于9月重磅发布,提供基于 K8s 原生Networkpolicy 的集群容器间网络策略下发和管理能力,帮助企业快速构建安全可信的容器网络。
K8s Networkpolicy介绍
针对上述问题,Kubernetes社区提供了官方解决方案,自v1.3版本起,新增了Networkpolicy资源,用于定义Pod之间的网络访问控制规则,并在v1.7版本中成为GA功能,API版本为networking.k8s.io/v1。
Networkpolicy实现了细粒度的容器访问控制策略,使用“Label标签”选定Pod范围,支持基于Pod应用粒度对指定Pod进行出入站访问控制,可配置IP段、命名空间以及应用(Pod)端口级规则。
默认情况下,一个应用(Pod&