k8s系列（十七：实例）Calico网络策略

https://docs.projectcalico.org/v3.10/getting-started/kubernetes/

基于BGP的方式来构建网络另外可以基于IPIP，基于ip报文承载另一个ip报文，也支持ipip隧道

calico服务于192.168.0.0/16

calico不支持ipvs支持iptables

部署

 

Egress：pod访问目标，对方地址、端口可预测

ingress：自己是目标， 己方地址、端口可预测

可以控制一个pod或是一组pod，可以控制入栈和出栈

定义两个名称空间做准备

1、定义拒绝所有入栈开放所有出栈的策略

以上策略实现dev名称空间的被控制prod名称空间无限制

2、看一个允许所有入栈的请求

3、允许一个pod或一组pod入栈的请求

给pod1打个标签

4、配置拒绝出栈的策略

5、配置允许出栈的策略

网络策略：

        名称空间：

                拒绝所有出站、入站；

                放行所有出站目标本名称空间内的所有pod