任务

安装工具

安装并设置 kubectl

安装 Minikube

管理集群

用 kubeadm 进行管理

Adding Windows nodes (EN)

Upgrading Windows nodes (EN)

管理内存，CPU 和 API 资源

安装网络规则驱动

使用 Calico 作为 NetworkPolicy

使用 Cilium 作为 NetworkPolicy

使用 Kube-router 作为 NetworkPolicy

使用 Romana 作为 NetworkPolicy

使用 Weave Net 作为 NetworkPolicy

Debug DNS 方案

Enabling Service Topology (EN)

IP Masquerade Agent 用户指南

Kubernetes 云管理控制器

Safely Drain a Node while Respecting the PodDisruptionBudget (EN)

为 Kubernetes 运行 etcd 集群

使用 Kubernetes API 访问集群

关键插件 Pod 的调度保证

启用端点切片

命名空间演练

在 Kubernetes 集群中使用 NodeLocal DNSCache

在 Kubernetes 集群中使用 sysctl

在实时集群上重新配置节点的 Kubelet

搭建高可用的 Kubernetes Masters

改变默认 StorageClass

更改 PersistentVolume 的回收策略

配置 Pods 和容器

Assign CPU Resources to Containers and Pods

Configure GMSA for Windows Pods and containers (EN)

为 Windows 的 pod 和容器配置 RunAsUserName

配置 Pod 的服务质量

为容器分派扩展资源

配置 Pod 以使用卷进行存储

配置 Pod 以使用 PersistentVolume 作为存储

配置 Pod 使用投射卷作存储

Configure a Security Context for a Pod or Container (EN)

为 Pod 配置服务账户

从私有仓库拉取镜像

配置存活、就绪和启动探测器

Assign Pods to Nodes using Node Affinity (EN)

将 Docker Compose 文件转换为 Kubernetes 资源

管理 Kubernetes 对象

Declarative Management of Kubernetes Objects Using Configuration Files (EN)

Declarative Management of Kubernetes Objects Using Kustomize (EN)

Managing Kubernetes Objects Using Imperative Commands (EN)

使用配置文件对 Kubernetes 对象进行命令式管理

给应用注入数据

为容器设置启动时要执行的命令及其入参

为容器设置环境变量

使用 PodPreset 将信息注入 Pods

运行应用

使用 kubectl patch 更新 API 对象

删除 StatefulSet

强制删除 StatefulSet 类型的 Pods

基于Replication Controller执行滚动升级

Pod 水平自动伸缩

Horizontal Pod Autoscaler演练

指定应用程序的中断预算（Disruption Budget）

使用Deployment运行一个无状态应用

运行 Jobs

访问集群中的应用程序

Set up Ingress on Minikube with the NGINX Ingress Controller (EN)

监控、日志和排错

Auditing with Falco (EN)

Debug Running Pods (EN)

Logging Using Stackdriver (EN)

StackDriver 中的事件

使用 crictl 对 Kubernetes 节点进行调试

使用 ElasticSearch 和 Kibana 进行日志管理

调试 Pods 和 Replication Controllers

扩展 Kubernetes

使用自定义资源

Extend the Kubernetes API with CustomResourceDefinitions (EN)

用户自定义资源版本

配置聚合层

设置一个扩展的 API server

使用 HTTP 代理访问 Kubernetes API

TLS

管理集群中的 TLS 认证

证书轮换

联邦 - 在多个集群上运行一个应用

将 CoreDNS 设置为联邦集群的 DNS 提供者

管理联邦控制平面

管理集群守护进程

安装服务目录

使用 Helm 安装 Service Catalog

网络

声明网络策略

本文可以帮助您开始使用 Kubernetes 的 NetworkPolicy API 声明网络策略去管理 Pod 之间的通信

准备开始
创建一个nginx deployment 并且通过服务将其暴露
测试服务能够被其它的 pod 访问
限制访问 nginx 服务
为服务指定策略
当访问标签没有定义时测试访问服务
定义访问标签后再次测试

准备开始

您首先需要有一个支持网络策略的 Kubernetes 集群。已经有许多支持 NetworkPolicy 的网络提供商，包括：

注意：以上列表是根据产品名称按字母顺序排序，而不是按推荐或偏好排序。下面示例对于使用了上面任何提供商的 Kubernetes 集群都是有效的

创建一个`nginx` deployment 并且通过服务将其暴露

为了查看 Kubernetes 网络策略是怎样工作的，可以从创建一个nginx deployment 并且通过服务将其暴露开始

$ kubectl run nginx --image=nginx --replicas=2
deployment "nginx" created
$ kubectl expose deployment nginx --port=80
service "nginx" exposed

在 default 命名空间下运行了两个 nginx pod，而且通过一个名字为 nginx 的服务进行了暴露

$ kubectl get svc,pod
NAME                        CLUSTER-IP    EXTERNAL-IP   PORT(S)    AGE
svc/kubernetes              10.100.0.1    <none>        443/TCP    46m
svc/nginx                   10.100.0.16   <none>        80/TCP     33s

NAME                        READY         STATUS        RESTARTS   AGE
po/nginx-701339712-e0qfq    1/1           Running       0          35s
po/nginx-701339712-o00ef    1/1           Running       0          35s

测试服务能够被其它的 pod 访问

您应该可以从其它的 pod 访问这个新的 nginx 服务。为了验证它，从 default 命名空间下的其它 pod 来访问该服务。请您确保在该命名空间下没有执行孤立动作。

启动一个 busybox 容器，然后在容器中使用 wget 命令去访问 nginx 服务：

$ kubectl run busybox --rm -ti --image=busybox /bin/sh
Waiting for pod default/busybox-472357175-y0m47 to be running, status is Pending, pod ready: false

Hit enter for command prompt

/ # wget --spider --timeout=1 nginx
Connecting to nginx (10.100.0.16:80)
/ #

限制访问 `nginx` 服务

如果说您想限制 nginx 服务，只让那些拥有标签 access: true 的 pod 访问它，那么您可以创建一个只允许从那些 pod 连接的 NetworkPolicy：

kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
  name: access-nginx
spec:
  podSelector:
    matchLabels:
      run: nginx
  ingress:
  - from:
    - podSelector:
        matchLabels:
          access: "true"

为服务指定策略

使用 kubectl 工具根据上面的 nginx-policy.yaml 文件创建一个 NetworkPolicy：

$ kubectl create -f nginx-policy.yaml
networkpolicy "access-nginx" created

当访问标签没有定义时测试访问服务

如果您尝试从没有设定正确标签的 pod 中去访问 nginx 服务，请求将会超时：

$ kubectl run busybox --rm -ti --image=busybox /bin/sh
Waiting for pod default/busybox-472357175-y0m47 to be running, status is Pending, pod ready: false

Hit enter for command prompt

/ # wget --spider --timeout=1 nginx
Connecting to nginx (10.100.0.16:80)
wget: download timed out
/ #

定义访问标签后再次测试

创建一个拥有正确标签的 pod，您将看到请求是被允许的：

$ kubectl run busybox --rm -ti --labels="access=true" --image=busybox /bin/sh
Waiting for pod default/busybox-472357175-y0m47 to be running, status is Pending, pod ready: false

Hit enter for command prompt

/ # wget --spider --timeout=1 nginx
Connecting to nginx (10.100.0.16:80)
/ #

反馈

此页是否对您有帮助？

感谢反馈。如果您有一个关于如何使用 Kubernetes 的特定的、需要答案的问题，可以访问 Stack Overflow. 在 GitHub 仓库上登记新的问题报告问题或者提出改进建议.

任务

声明网络策略

准备开始

创建一个nginx deployment 并且通过服务将其暴露

测试服务能够被其它的 pod 访问

限制访问 nginx 服务

为服务指定策略

当访问标签没有定义时测试访问服务

定义访问标签后再次测试

反馈

创建一个`nginx` deployment 并且通过服务将其暴露

限制访问 `nginx` 服务