Подключиться
Yandex Managed Service for Kubernetes

Сетевые политики кластера Kubernetes

Статья создана

Сетевые политики Kubernetes позволяют настроить сетевое взаимодействие между группами подов и узлами сети. Вы можете создать сетевые политики с помощью Kubernetes Network Policy API, который задает правила фильтрации трафика на уровне подов. Правила определяют, какие поды и сервисы в кластере Kubernetes могут получить доступ друг к другу.

Для управления сетевыми политиками в Managed Service for Kubernetes используются контроллеры Calico и Cilium.

Сетевой контроллер Calico использует правила iptables, а Cilium — технологию eBPF.

Важно

Вы можете включить использование сетевых политик только при создании кластера.

Calico

Calico позволяет настраивать базовые политики безопасности кластера Kubernetes.

Пошаговые инструкции по его настройке приведены на странице Настройка контроллера сетевых политик Calico.

Cilium

По сравнению с Calico, контроллер Cilium обладает более широкими возможностями и позволяет:

  • Использовать одни и те же диапазоны подсетей для подов и сервисов в разных кластерах.
  • Создавать более функциональные сетевые политики, например, фильтровать трафик между подами на прикладном уровне L7 или на основании DNS-имени внешнего ресурса.
  • Применять встроенный инструмент Hubble для мониторинга сетевых событий.

Cilium в кластере Managed Service for Kubernetes работает в туннельном режиме. Этот режим реализует сетевую связанность объектов кластера на базе технологии VxLAN с помощью Cilium CNI.

Туннельный режим Cilium позволяет:

  • Создавать кластеры с пересекающимися IP-адресами в одной сети.
  • Использовать расширенный диапазон адресов для подов и сервисов кластера вплоть до /8.
  • Создавать в два раза больше узлов в кластерах (в сравнении с Calico).

Примечание

Туннельный режим находится на стадии Preview.

Требования к кластеру для включения сетевых политик

Необходимые условия для включения сетевых политик в кластере Kubernetes:

  • Достаточное количество ресурсов в группах узлов.

    Применение сетевых политик требует дополнительных ресурсов памяти и vCPU.

  • Для использования контроллера Cilium версия Kubernetes должна быть не ниже 1.19, релизный канал — RAPID.

Рекомендуется включать контроллер сетевых политик только в кластере минимум из двух узлов.

В этой статье: