kube-ovn代码系列（四）pod 安全组功能

kube-ovn代码系列（四）pod 安全组功能

链接

https://www.gogo-dev.com/index.php/2022/02/19/kube-ovn-securitygroup/

内容

kube-ovn在1.8版本上引入了安全组，为了pod容器提供了类似openstack平台上neutron项目的安全组功能。个人猜测引入这个功能的开发者应该是使用容器平台的Pod来管理虚拟机（如kubevirt），自然就会同步对比openstack平台从而想要引入对应安全组功能。

目前kube-ovn的pod和openstack平台的neutron port一样具备了2种安全能力，一种是port端口安全，一种就是安全组。port端口安全用来控制pod内部往外访问时源IP和源Mac的合法性。安全组则是可以更精细化的控制不管是流入pod、流出pod的所有流量。

从上文可知kube-ovn为了安全组功能设计了新的crd资源SecurityGroup，该资源用于创建ovn port_group资源，然后根据指定的安全组规则生成acl通过acl-add添加到ovn port_group资源上。而pod的网卡配置了安全组之后，就会和上述ovn port_group资源做关联，通过ovn pg-set-ports将对应的ovn port添加到ovn port_group，从而完成了整个安全组功能的逻辑。