Questo argomento spiega come utilizzare i criteri di rete Kubernetes per proteggere i pod Cassandra e Redis all'interno di un cluster Apigee Hybrid .
Panoramica
Se vuoi controllare il flusso di traffico a livello di indirizzo IP o porta (livello OSI 3 o 4), puoi utilizzare i criteri di rete Kubernetes per le applicazioni nel tuo cluster. I criteri di rete sono un costrutto incentrato sulle applicazioni che puoi utilizzare per specificare in che modo un pod può comunicare con altri pod nel cluster.
In Apigee hybrid puoi utilizzare le policy di rete di Kubernetes per isolare i pod Cassandra in modo che solo i pod destinati a comunicare con Cassandra siano autorizzati, ad esempio i pod Runtime, Synchronizer e Mart. Gli altri pod nel cluster, come i pod Ingres e Watcher che non devono comunicare con Cassandra, non possono farlo.
Se non hai restrizioni sui pod che possono interagire all'interno del cluster, non devi utilizzare i criteri di rete Kubernetes.
Prerequisiti
-
Abilita i criteri di rete nel cluster.
- GKE: consulta Abilitazione dell'applicazione dei criteri di rete.
- EKS: consulta la sezione Installazione del componente aggiuntivo del motore di policy di rete Calico.
- AKS: consulta Proteggere il traffico tra i pod utilizzando i criteri di rete in Azure Kubernetes Service (AKS) .
- Altre piattaforme: cerca le istruzioni per abilitare i criteri di rete sul tuo cluster presso il fornitore della tua piattaforma specifica.
- Un cluster Apigee hybrid attualmente in esecuzione, versione 1.8 o successiva.
Procedura
Scarica ed estrai il pacchetto della release apigeectl.
Linux
curl -LO \ https://storage.googleapis.com/apigee-release/hybrid/apigee-hybrid-setup/1.11.2/apigeectl_linux_64.tar.gz
Mac OS
curl -LO \ https://storage.googleapis.com/apigee-release/hybrid/apigee-hybrid-setup/1.11.2/apigeectl_mac_64.tar.gz
Windows
curl -LO ^ https://storage.googleapis.com/apigee-release/hybrid/apigee-hybrid-setup/1.11.2/apigeectl_windows_64.zip
I file di configurazione per le norme di rete Kubernetes per Cassandra e Redis si trovano nella
seguente struttura di directory all'interno della directory apigeectl:
└── apigeectl
└── examples
└── network-policies
└── securing-cassandra-redis-pods
├── README.md
├── base
│ └── cluster-scoped-communication
│ ├── cassandra
│ │ ├── kustomization.yaml
│ │ ├── networkpolicy-cassandra-allow-controller.yaml
│ │ ├── networkpolicy-cassandra-allow-intranode.yaml
│ │ ├── networkpolicy-cassandra-allow-mart.yaml
│ │ ├── networkpolicy-cassandra-allow-runtime.yaml
│ │ ├── networkpolicy-cassandra-alow-sync.yaml
│ │ ├── networkpolicy-cassandra-create-user.yaml
│ │ ├── networkpolicy-cassandra-monitoring.yaml
│ │ └── networkpolicy-cassandra-remove-dc.yaml
│ └── redis
│ ├── kustomization.yaml
│ ├── networkpolicy-redis-envoy.yaml
│ └── networkpolicy-redis.yaml
└── overlays
└── ORG_NAME
└── kustomization.yamlDove ORG_NAME è il nome della tua organizzazione Apigee.
- Etichetta lo spazio dei nomi con il seguente comando:
kubectl label namespace APIGEE_NAMESPACE app=apigee
- Applica le norme di rete con il seguente comando:
kubectl apply -k ${APIGEECTL_HOME}/examples/network-policies/securing-cassandra-redis-pods/overlays/ORG_NAME - Verifica che le norme di rete siano state applicate con il seguente comando:
kubectl get netpol -n APIGEE_NAMESPACE
I seguenti criteri di rete devono essere creati nello spazio dei nomi APIGEE_NAMESPACE:
NAME POD-SELECTOR AGE cassandra-from-mart app=apigee-cassandra 4d5h cassandra-from-runtime app=apigee-cassandra 4d5h cassandra-from-sync app=apigee-cassandra 4d5h cassandra-to-cassandra app=apigee-cassandra 4d5h controller-to-cassandra app=apigee-cassandra 4d5h redis-from-redisenvoy app=apigee-redis 3d18h redisenvoy-from-runtime app=apigee-redis-envoy 3d18h