Cilium网络策略实战:基于双向认证的微服务访问控制

于 2025-06-01 09:14:44 发布
阅读量542 收藏 16
点赞数 30
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00006/article/details/148362391

Cilium网络策略实战:基于双向认证的微服务访问控制

cilium Cilium 是一个开源的网络和存储编排工具,用于容器网络、负载均衡和网络安全。 * 用于容器网络、负载均衡和网络安全、支持多种编程语言和框架、容器网络。 * 有什么特点:支持多种编程语言和框架 cilium 项目地址: https://gitcode.com/gh_mirrors/ci/cilium

理解CiliumNetworkPolicy的双向认证机制

在现代云原生环境中,服务间的安全通信变得尤为重要。Cilium作为基于eBPF技术的高性能网络方案,提供了强大的网络安全策略能力。本文将深入分析一个典型的CiliumNetworkPolicy示例,展示如何实现基于双向认证的微服务访问控制。

策略文件解析

让我们先看这个YAML文件的核心结构:

apiVersion: cilium.io/v2
kind: CiliumNetworkPolicy
metadata:
  name: mutual-auth-echo
spec:
  endpointSelector:
    matchLabels:
      app: echo
  ingress:
  - fromEndpoints:
    - matchLabels:
        app: pod-worker
    authentication:
      mode: "required"
    toPorts:
    - ports:
      - port: "3000"
        protocol: TCP
      rules:
        http:
        - method: "GET"
          path: "/headers"

核心组件详解

1. 端点选择器 (EndpointSelector)

endpointSelector定义了此策略适用的目标端点(通常是Pod)。在这个例子中,策略将应用于所有带有app: echo标签的Pod。

endpointSelector:
  matchLabels:
    app: echo

2. 入口规则 (Ingress Rules)

入口规则定义了哪些流量可以进入目标端点。这里包含三个关键部分:

来源端点限制
fromEndpoints:
  - matchLabels:
      app: pod-worker

表示只允许带有app: pod-worker标签的Pod发起连接。

双向认证要求
authentication:
  mode: "required"

这是策略的核心安全特性,要求所有进入的流量必须进行双向TLS认证。

端口和协议限制
toPorts:
  - ports:
    - port: "3000"
      protocol: TCP

限制只允许访问目标端点的3000/TCP端口。

3. HTTP层规则

rules:
  http:
  - method: "GET"
    path: "/headers"

在L7层进一步限制,只允许GET方法和访问/headers路径。

双向认证的工作原理

当这个策略应用后,Cilium会在数据路径中实现以下安全机制:

  1. 身份验证:所有来自pod-worker的流量必须提供有效的TLS证书
  2. 证书验证:Cilium会验证证书是否由集群信任的CA签发
  3. 服务标识:证书中的标识信息必须与Kubernetes服务账户或Pod标识匹配
  4. 加密通信:所有通信都会自动加密

实际应用场景

这种策略特别适合以下场景:

  1. 关键服务保护:如数据库、认证服务等重要后端
  2. 零信任架构:实现服务间的严格身份验证
  3. 合规要求:满足金融、医疗等行业对通信安全的高标准

策略部署建议

  1. 渐进式部署:可以先使用mode: "disabled"测试策略效果,再切换到required
  2. 监控日志:部署后密切监控Cilium日志,确保没有合法流量被拒绝
  3. 结合其他策略:可以与Egress策略结合,构建完整的服务网格安全体系

常见问题排查

如果策略不生效,可以检查:

  1. 相关Pod是否正确打标
  2. Cilium组件日志是否有认证错误
  3. 证书是否有效且未过期
  4. 网络策略是否被正确应用(使用cilium CLI工具检查)

总结

通过这个示例,我们看到了Cilium如何提供细粒度的网络控制能力。双向认证策略为微服务架构提供了强大的安全基础,而无需修改应用代码。Cilium的独特之处在于它在Linux内核层面实现这些功能,提供了高性能的安全保障。

对于希望加强服务间安全的企业,这种基于身份的网络策略是实现零信任架构的重要一步。

cilium Cilium 是一个开源的网络和存储编排工具,用于容器网络、负载均衡和网络安全。 * 用于容器网络、负载均衡和网络安全、支持多种编程语言和框架、容器网络。 * 有什么特点:支持多种编程语言和框架 cilium 项目地址: https://gitcode.com/gh_mirrors/ci/cilium

创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考

Cilium动手实验室: 精通之旅---1.Getting Started with Cilium
Q先生
06-03 687
我们需要在 HTTP 层的第 7 层实施策略,以限制允许 tiefighter 调用的确切 API,以及不允许调用哪些 API。上仅需要的 API 资源的访问,从而为微服务之间的通信实施“最低权限”安全方法。船只上进行匹配,因此我们需要在该标签上进行匹配,此外,我们必须确保来自带有标签。为了模拟我们的连接测试,我们将使用 curl 执行简单的 API 调用。在我们立即开始更改策略之前,让我们考虑一下相应的网络策略应该是什么样子。的规则,该规则将通过 L3-L4 策略对死星的访问限制为仅帝国船只。
Cilium动手实验室: 精通之旅---12.Cilium Egress Gateway - Lab
Q先生
06-08 965
本地网关将继续使用,直到它变得不可用,在这种情况下,所有流量都会故障转移到其他可用区中的网关。由于 Tie Fighter Pod 与策略的选择器不匹配,它仍然通过其节点的 IP 地址访问 Outpost,这是无效的。在 Cilium OSS 中,Egress Gateway 策略用于为流量选择一个节点,该节点将始终用于给定的流量。此出口 IP 应与您之前从回显服务器获得的回复匹配,因为它是用于伪装该出口网关策略的流量的 IP。现在,当流量通过两个允许的 IP 地址之一离开集群时,将接受连接。
【容器网络】性能调优:eBPF与Cilium实践
沐风—云端行者
04-13 725
eBPF与Cilium正重塑容器网络的未来。通过内核态数据处理、动态策略加载、全栈可观测三大支柱,它们解决了云原生时代的高性能、高密度、高弹性需求。建议企业从内核版本升级(≥5.10)渐进式迁移策略混合流量治理三阶段推进实践,迎接下一代网络架构的曙光。
使用 Cilium 增强 Kubernetes 网络安全
hanfengzxh的博客
02-13 3824
TL;DR 在本篇,我们分别使用了 Kubernetes 原生的网络策略Cilium网络策略实现了 Pod 网络层面的隔离。不同的是,前者只提供了基于 L3/4 的网络策略;后者支持 L3/4、L7 的网络策略。 通过网络策略来提升网络安全,可以极大降低了实现和维护的成本,同时对系统几乎没有影响。 尤其是基于 eBPF 技术的 Cilium,解决了内核扩展性不足的问题,从内核层面为工作负载提供安全可靠、可观测的网络连接。 背景 为什么说 Kubernetes 网络存在安全隐患?集群中的 Pod 默.
浅谈网络 | 容器网络Cilium
weixin_48711696的博客
02-20 1142
Cilium 是一个开源网络和安全项目,专为 Kubernetes、Docker 和 Mesos 等容器管理平台设计,旨在为容器化环境中的应用程序提供透明的网络连接和安全保护。它基于 Linux 内核中的 eBPF 技术,能够在内核层面上动态插入安全、可见性和网络控制逻辑,支持传统网络安全(如防火墙和访问控制)以及更精细的 API 和进程级安全,确保容器间通信不受威胁。
[CKS] Cilium网络策略
agjllxchjy的博客
11-13 727
关于CiliumNetworkPolicy的介绍和使用方法,大家可以参考https://docs.cilium.io/en/stable/network/kubernetes/policy/#ciliumnetworkpolicy。
Cilium网络概述
Docker的专栏
08-12 4599
K8s已经成为一线大厂分布式平台的标配技术。你是不是还在惆怅怎么掌握它?来这里,大型互联网公司一线工程师亲授,不来虚的,直接上手实战,3天时间带你搭建K8s平台,快速学会K8s,点击下方...
cilium:基于eBPF的网络,安全性和可观察性
02-02
Cilium的核心目标是提供低延迟、高性能的网络连接,同时强化容器之间的安全性,并提供丰富的网络和安全策略。 一、eBPF技术 eBPF是Linux内核中的一种技术,它允许动态加载和执行小型的、验证过的代码段,这些代码段...
Cilium 1.7发布:Hubble UI、全集群网络策略、基于eBPF的Direct Server Return以及更多
Docker的专栏
02-20 2471
在这里,我们要向大家高兴地宣布,Cilium 1.7版本正式发布了!在本轮更新周期当中,由141位开发者组成的项目社区共完成了1551项提交,而且很多朋友是第一次为Cilium项目提交贡...
理清Cilium的概念及优势,看这一篇干货就够了
gjjumin的专栏
07-12 1381
Cilium 是一款开源软件,也是 CNCF 的孵化项目,最初它仅是作为一个 Kubernetes 网络组件,作为第一个通过 ebpf 实现了 kube-proxy 所有功能的网络插件,对kubernetes的网络方案的技术革新起到了推古拉朽的作用。Cilium 在 1.7 版本后推出并开源了Hubble,它是专门为网络可视化设计,能够利用 Cilium 提供的eBPF 数据路径,获得对 Kubernetes 应用和服务的网络流量的深度可见性。
使用 eBPF 和 Cilium 进行 Kubernetes 网络管理
桂月二二博客
02-06 487
无代理的 kube-proxy 替代方案基于身份的网络策略内置负载均衡和服务发现丰富的可观测性,如 Hubble。
CNI 网络流量 5.1 Cilium 介绍和原理
mr1jie的博客
02-27 1538
cilium 介绍使用
最 Cool 的 Kubernetes 网络方案 Cilium 入门教程
hebiwen95的博客
08-04 882
以下基于 Cilium官网文档翻译整理。
智慧农业数字乡村数字化场景DeepSeek+AI大模型智算一体机设计方案.pptx
06-23
智慧农业数字乡村数字化场景DeepSeek+AI大模型智算一体机设计方案.pptx
【Bernstein-2025研报】美国服装及专业零售:美国运动服装需求追踪(2025年5月).pdf
06-23
【Bernstein-2025研报】美国服装及专业零售:美国运动服装需求追踪(2025年5月).pdf
《UPBGE:Blender最佳集成游戏引擎的持续更新》
06-23
资源下载链接为: https://pan.quark.cn/s/ab6ed9424307 UPBGE(Uchronia项目Blender Game Engine)是Blender的一个分支版本,由Blender Game Engine的开发人员Porteries Tristan及其一些朋友于2015年9月创建。它是一个独立的分支,旨在对现有的Blender Game Engine(BGE)代码进行清理和优化,尝试引入新功能,并实现那些目前存在但尚未与Blender官方主线合并的被遗忘的功能。在Blender Foundation决定从2.8版本开始移除BGE之后,UPBGE实际上成为了唯一继续进行Game Engine开发的项目。这使得UPBGE在开发过程中拥有更大的自由度,因为它不会与Blender的正式版本产生冲突。UPBGE的开发周期为4个月,其中3个月用于添加新功能和重构代码,1个月用于修复错误,之后会发布一个新版本,每年大约有3到4个版本可供下载。
课程设计-jsp2120车间信息管理系统ssh-qkr.zip
最新发布
06-23
课程设计 源代码数据库配套报告教程
掌握K8S网络进阶:Cilium与Calico全面解析
资源摘要信息: "K8S 网络进阶培训视频65集.zip" 在本培训视频中,学员将通过六个核心模块全面了解Kubernetes (K8s) 网络的高级配置和管理技术。 一、环境准备: - VMWare网络模式:了解VMWare虚拟化技术中的网络...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

宋海翌Daley

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值