配置 Kubernetes 网络政策

本主题介绍如何使用 Kubernetes 网络政策来保护 Apigee Hybrid 集群中的 Cassandra 和 Redis pod。

概览

如果要控制 IP 地址或端口级别的流量（OSI 第 3 层或第 4 层），则可以将 Kubernetes 网络政策用于集群中的应用。网络政策是以应用为中心的构造，可用于指定 Pod 如何与集群中的其他 Pod 通信。

在 Apigee Hybrid 中，您可以使用 Kubernetes 网络政策隔离 Cassandra Pod，以便仅允许与 Cassandra 通信的 Pod（例如运行时、同步器和 Mart Pod）。集群中不需要与 Cassandra 通信的其他 Pod（例如 Ingress 和 Watcher Pod）将被阻止执行此操作。

如果您对集群内的哪些 Pod 没有任何限制，则无需使用 Kubernetes 网络政策。

前提条件

在集群中启用网络政策。
- GKE：请参阅启用网络政策实施功能。
- EKS：请参阅安装 Calico 网络政策引擎插件。
- AKS：请参阅使用 Azure Kubernetes Service (AKS) 中的网络政策保护 Pod 之间的流量。
- 其他平台：查找有关在特定平台上供应商在集群上启用网络政策的说明。
当前正在运行的 Apigee Hybrid 集群 1.8 版或更高版本。

过程

下载并解压缩 apigeectl 版本软件包。

注意：只有 Apigee Hybrid 1.11 及更低版本支持 apigeectl。以下命令将下载适用于 Apigee Hybrid 版本 1.11 的最新版本的 apigeectl。

Linux

curl -LO \
  https://storage.googleapis.com/apigee-release/hybrid/apigee-hybrid-setup/1.11.2/apigeectl_linux_64.tar.gz

Mac OS

curl -LO \
  https://storage.googleapis.com/apigee-release/hybrid/apigee-hybrid-setup/1.11.2/apigeectl_mac_64.tar.gz

Windows

curl -LO ^
   https://storage.googleapis.com/apigee-release/hybrid/apigee-hybrid-setup/1.11.2/apigeectl_windows_64.zip

Cassandra 和 Redis 的 Kubernetes 网络政策的配置文件位于 apigeectl 目录中的以下目录结构：

  └── apigeectl
      └── examples
          └── network-policies
              └── securing-cassandra-redis-pods
                  ├── README.md
                  ├── base
                  │   └── cluster-scoped-communication
                  │       ├── cassandra
                  │       │   ├── kustomization.yaml
                  │       │   ├── networkpolicy-cassandra-allow-controller.yaml
                  │       │   ├── networkpolicy-cassandra-allow-intranode.yaml
                  │       │   ├── networkpolicy-cassandra-allow-mart.yaml
                  │       │   ├── networkpolicy-cassandra-allow-runtime.yaml
                  │       │   ├── networkpolicy-cassandra-alow-sync.yaml
                  │       │   ├── networkpolicy-cassandra-create-user.yaml
                  │       │   ├── networkpolicy-cassandra-monitoring.yaml
                  │       │   └── networkpolicy-cassandra-remove-dc.yaml
                  │       └── redis
                  │           ├── kustomization.yaml
                  │           ├── networkpolicy-redis-envoy.yaml
                  │           └── networkpolicy-redis.yaml
                  └── overlays
                      └── ORG_NAME
                          └── kustomization.yaml

其中，ORG_NAME 是您的 Apigee 组织的名称。

使用以下命令为命名空间添加标签：
```
kubectl label namespace APIGEE_NAMESPACE app=apigee
```
注意：您可以使用任何命名空间。apigee 是默认命名空间。如果使用其他命名空间，请务必在以下命令中将 APIGEE_NAMESPACE 替换为您的命名空间名称。

使用以下命令应用网络政策：

kubectl apply -k ${APIGEECTL_HOME}/examples/network-policies/securing-cassandra-redis-pods/overlays/ORG_NAME

使用以下命令验证已应用网络政策：

kubectl get netpol -n APIGEE_NAMESPACE

应在 APIGEE_NAMESPACE 命名空间中创建以下网络政策：

      NAME                        POD-SELECTOR              AGE
      cassandra-from-mart         app=apigee-cassandra      4d5h
      cassandra-from-runtime      app=apigee-cassandra      4d5h
      cassandra-from-sync         app=apigee-cassandra      4d5h
      cassandra-to-cassandra      app=apigee-cassandra      4d5h
      controller-to-cassandra     app=apigee-cassandra      4d5h
      redis-from-redisenvoy       app=apigee-redis          3d18h
      redisenvoy-from-runtime     app=apigee-redis-envoy    3d18h