使用 Cilium 提供 NetworkPolicy

    关于 Cilium 的背景知识,请阅读 Cilium 介绍

    你必须拥有一个 Kubernetes 的集群,同时你的 Kubernetes 集群必须带有 kubectl 命令行工具。 建议在至少有两个节点的集群上运行本教程,且这些节点不作为控制平面主机。 如果你还没有集群,你可以通过 Minikube 构建一个你自己的集群,或者你可以使用下面任意一个 Kubernetes 工具构建:

    要获知版本信息,请输入 .

    为了轻松熟悉 Cilium,你可以根据 在 minikube 中执行一个 Cilium 的基本 DaemonSet 安装。

    1. minikube version: v1.5.2

    对于 minikube 你可以使用 Cilium 的 CLI 工具安装它。 为此,先用以下命令下载最新版本的 CLI:

    1. curl -LO https://github.com/cilium/cilium-cli/releases/latest/download/cilium-linux-amd64.tar.gz

    然后用以下命令将下载的文件解压缩到你的 /usr/local/bin 目录:

    运行上述命令后,你现在可以用以下命令安装 Cilium:

    随后 Cilium 将自动检测集群配置,并创建和安装合适的组件以成功完成安装。 这些组件为:

    • Secret cilium-ca 中的证书机构 (CA) 和 Hubble(Cilium 的可观测层)所用的证书。
    • 集群角色。
    • ConfigMap。
    • Agent DaemonSet 和 Operator Deployment。

    入门指南其余的部分用一个示例应用说明了如何强制执行 L3/L4(即 IP 地址 + 端口)的安全策略以及 L7 (如 HTTP)的安全策略。

    关于部署 Cilium 用于生产的详细说明,请参见 。 此文档包括详细的需求、说明和生产用途 DaemonSet 文件示例。

    部署使用 Cilium 的集群会添加 Pod 到 命名空间。要查看 Pod 列表,运行:

    你将看到像这样的 Pod 列表:

    1. NAME READY STATUS RESTARTS AGE
    2. cilium-kkdhz 1/1 Running 0 3m23s

    集群运行后, 你可以按照声明网络策略试用基于 Cilium 的 Kubernetes NetworkPolicy。玩得开心,如果你有任何疑问,请到 联系我们。