中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

如何進行Tungsten Fabric與K8s集成及創建隔離命名空間

發布時間:2021-12-16 11:01:24 來源:億速云 閱讀:141 作者:柒染 欄目:互聯網科技

本篇文章為大家展示了如何進行Tungsten Fabric與K8s集成及創建隔離命名空間,內容簡明扼要并且容易理解,絕對能使你眼前一亮,通過這篇文章的詳細介紹希望你能有所收獲。

K8s與Tungsten Fabric集成后有四種配置模式,分別為:默認模式、自定義隔離模式、命名空間隔離模式、嵌套模式。
默認模式:Tungsten Fabric創建一個由所有命名空間共享的虛擬網絡,并從中分配service和pod的IP地址,在Kubernetes集群中產生的所有命名空間中的所有pod都能夠彼此通信。
自定義隔離模式:管理員和應用程序開發人員可以添加注釋("opencontrail.org/network: <fq_network_name>")來指定虛擬網絡。在這個虛擬網絡中,一個命令空間中的一個或所有pod將在這個虛擬網絡中被啟動。如果該注釋是在pod上配置的,那么pod將在該網絡中啟動;如果注釋是在命名空間中配置的,那么命名空間中的所有pod都將在該網絡中啟動。
命名空間隔離模式:集群管理員可以在創建新的命令空間時,添加注釋("opencontrail.org/isolation : true")以啟用命令空間隔離。因此,該命名空間中的服務不能從其他命名空間訪問,除非明確定義了安全組或網絡策略以允許訪問,或者啟動注釋("opencontrail.org/isolation.service : false")單獨允許該命名空間的service可以被其他命令空間的pod訪問。
嵌套模式:Tungsten Fabric支持與基于OpenStack虛擬機部署的Kubernetes集群集成。Tungsten Fabric提供了一個可折疊的控制和數據平面,一個TF控制平面和一個網絡堆棧管理和服務同時在OpenStack和Kubernetes兩個集群中。有了統一的控制和數據平面,可以無縫地交互和配置這些集群,不需要單獨為每個集群部署TF。
 

創建隔離命名空間


在此將會創建一個隔離的命名空間,名為isolated-ns,具體配置文件如下:
 
如何進行Tungsten Fabric與K8s集成及創建隔離命名空間如何進行Tungsten Fabric與K8s集成及創建隔離命名空間

執行kubectl的創建命令之后,對應的命名空間隨即被創建。
 
如何進行Tungsten Fabric與K8s集成及創建隔離命名空間

而在TF上也會有對應的policy和虛擬網絡被創建出來,分別為:
TF policy: k8s-isolated-ns-pod-service-np
這條TF policy的作用,是允許附加了該條策略的虛擬網絡能夠訪問命令空間isolated-ns中的service clusterip。
TF network: k8s-isolated-ns-pod-network , k8s-isolated-ns-service-network

這兩個網絡分別使用了命名空間default里面的IPAM,所以在這個命令空間isolated-ns中默認創建出來的pod和service所分配的IP所屬的IP池,與命名空間default中的一樣,即pod(10.32.0.0/12)和service(10.96.0.0/12)。
 
如何進行Tungsten Fabric與K8s集成及創建隔離命名空間

如何進行Tungsten Fabric與K8s集成及創建隔離命名空間

驗證與非隔離命令空間的網絡連通性


接下來在隔離的命令空間isolated-ns中創建pod和service,驗證isolated-ns與其他命令空間的連通性。
首先在default和isolated-ns兩個命令空間中分別創建兩個pod和一個service。
 
如何進行Tungsten Fabric與K8s集成及創建隔離命名空間如何進行Tungsten Fabric與K8s集成及創建隔離命名空間

所以目前的資源為:
2個命名空間:default,isolated-ns
2個service:nginx-default (10.105.147.31),nginx-isolated (10.97.162.157)
4個pod:
nginx-default-test01 (10.47.255.251)
nginx-default-test02 (10.47.255.250)
nginx-isolated-test01 (10.47.255.249)
nginx-isolated-test02 (10.47.255.247)
 
網絡連通性驗證流程:
1. 從命名空間default中的pod nginx-default-test01去ping其他三個pod,結果是pod nginx-default-test01只能連通同一命名空間中pod,而無法連通隔離命名空間中的pod。
    
如何進行Tungsten Fabric與K8s集成及創建隔離命名空間

2. 從命名空間isolated-ns中的pod nginx-isolated-test01去ping其他三個pod,結果是pod nginx-isolated-test01只能連通同一命名空間中pod,而無法連通其他命名空間中的pod。
 
如何進行Tungsten Fabric與K8s集成及創建隔離命名空間

3. 從命名空間default中的pod nginx-default-test01去curl分別在兩個命令空間中的service,結果是pod nginx-default-test01只能請求default和kube-system這些非隔離命名空間中的service,而無法請求隔離命名空間中的service。
 
如何進行Tungsten Fabric與K8s集成及創建隔離命名空間

4. 從命名空間isolated-ns中的pod nginx-isolated-test01去curl分別在兩個命令空間中的service,結果是pod nginx-isolated-test01只能請求default和kube-system這些非隔離命名空間中的service,而無法請求隔離命名空間中的service,即便該service在自己所在的命名空間。
 
如何進行Tungsten Fabric與K8s集成及創建隔離命名空間

所有驗證結果綜合起來就是,非隔離命名空間和隔離命名空間之后建的pod默認無法互訪——即便在相同的IPAM中,并且非隔離命名的service可以被任何pod訪問,而隔離命名空間的service默認無法被訪問。
現在需要添加TF policy讓pod之間,pod和service之間能夠連通。
對于pod之間的訪問,需要添加如下TF policy,該條policy是連接兩個網絡,k8s-default-pod-network與k8s-isolated-ns-pod-network。
 
如何進行Tungsten Fabric與K8s集成及創建隔離命名空間

創建完成,分別將這條Policy附加到隔離命名空間和非隔離命令空間的pod網絡上,k8s-default-pod-network與k8s-isolated-ns-pod-network。
 
如何進行Tungsten Fabric與K8s集成及創建隔離命名空間

如何進行Tungsten Fabric與K8s集成及創建隔離命名空間
 
此時再進行pod之間的網絡連接驗證,結果是兩個命名空間的pod之間已經能夠通信。
 
如何進行Tungsten Fabric與K8s集成及創建隔離命名空間

對于pod與service之間的訪問,需要添加如下TF policy,該條policy是允許指定網絡能夠訪問isolated-ns的service。
 
如何進行Tungsten Fabric與K8s集成及創建隔離命名空間

創建完成后,再將這條Policy附加到隔離命名空間和非隔離命令空間的pod網絡上,k8s-default-pod-network與k8s-isolated-ns-pod-network,以及隔離命名空間的service網絡k8s-isolated-ns-service-network上。
 
如何進行Tungsten Fabric與K8s集成及創建隔離命名空間

如何進行Tungsten Fabric與K8s集成及創建隔離命名空間
 
如何進行Tungsten Fabric與K8s集成及創建隔離命名空間

此時再進行pod與service之間的網絡連接驗證,結果是兩個命名空間的pod都可以訪問到隔離命名空間中的service。
 
如何進行Tungsten Fabric與K8s集成及創建隔離命名空間
在隔離命名空間和非隔離命名空間的流量全通之后,還可以通過安全策略去做進一步的流量控制。

上述內容就是如何進行Tungsten Fabric與K8s集成及創建隔離命名空間,你們學到知識或技能了嗎?如果還想學到更多技能或者豐富自己的知識儲備,歡迎關注億速云行業資訊頻道。

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

临安市| 鄂托克前旗| 永城市| 大同市| 许昌市| 偏关县| 临潭县| 洛隆县| 潮安县| 六安市| 远安县| 莱阳市| 海门市| 棋牌| 融水| 乐陵市| 米脂县| 东海县| 沁阳市| 桃园县| 宜兰县| 兰坪| 乌拉特中旗| 石门县| 桃园县| 安岳县| 贡山| 唐海县| 大洼县| 灵川县| 天长市| 龙州县| 永宁县| 涞水县| 庄河市| 舞阳县| 屏南县| 许昌市| 乌鲁木齐县| 阿勒泰市| 襄汾县|