Gardener项目中的NetworkPolicy设计与实现详解

Gardener项目中的NetworkPolicy设计与实现详解

概述

在Kubernetes生态系统中，NetworkPolicy是控制Pod间网络通信的重要机制。作为Kubernetes集群管理平台，Gardener项目在Garden、Seed和Shoot三种集群中实现了精细化的网络策略管理。本文将深入解析Gardener如何利用NetworkPolicy来保障各组件间的安全通信。

核心概念

NetworkPolicy基础

NetworkPolicy是Kubernetes提供的网络隔离机制，它定义了Pod组之间以及Pod与其他网络端点之间的通信规则。在Gardener架构中，NetworkPolicy被用于：

1. 控制组件间的访问权限
2. 防止未经授权的网络访问
3. 实现最小权限原则的网络通信

Garden集群网络策略

策略控制器架构

Gardener通过gardener-operator和gardener-resource-manager两个组件协同工作来管理Garden集群的网络策略：

1. gardener-operator运行NetworkPolicy控制器，负责以下命名空间：

   • garden
   • istio-system
   • *istio-ingress-*
   • shoot-*
   • extension-*（当Garden集群同时作为Seed集群时）

2. gardener-resource-manager提供辅助的NetworkPolicy控制器功能

基础网络策略类型

Gardener在Garden集群中部署了以下通用网络策略：

| 策略名称 | 功能描述 | |--------------------------|--------------------------------------------------------------------------| | deny-all | 拒绝所有进出流量，实现默认拒绝策略 | | allow-to-dns | 允许标记Pod访问kube-system命名空间中的DNS服务 | | allow-to-runtime-apiserver | 允许标记Pod访问运行时集群的API服务器 | | allow-to-blocked-cidrs | 允许标记Pod访问被管理员显式阻止的CIDR范围 | | allow-to-public-networks | 允许标记Pod访问公共网络（排除私有网络和被阻止地址） | | allow-to-private-networks | 允许标记Pod访问私有网络（排除集群特定网络） |

监控系统集成

对于监控系统的集成，需要特别注意：

1. 需要被Prometheus抓取的Pod必须在其Service上添加特定注解
2. 对于非garden命名空间的Pod，需要额外添加命名空间选择器注解
3. 对于extension-*命名空间的Pod，还需要添加pod-label-selector-namespace-alias注解

示例配置：

annotations:
  networking.resources.gardener.cloud/from-all-garden-scrape-targets-allowed-ports: '[{"port":8080,"protocol":"TCP"}]'
  networking.resources.gardener.cloud/namespace-selectors: '[{"matchLabels":{"kubernetes.io/metadata.name":"garden"}}]'
  networking.resources.gardener.cloud/pod-label-selector-namespace-alias: extensions

Seed集群网络策略

与Garden集群的异同

1. 当Seed集群同时作为Garden集群时，gardenlet不会启用NetworkPolicy控制器
2. 其他情况下，Seed集群使用与Garden集群相同的控制器和代码逻辑

监控系统特殊配置

Seed集群中的监控系统需要特殊处理：

1. 对于Seed系统命名空间，使用from-all-seed-scrape-targets-allowed-ports注解
2. 对于Shoot命名空间，使用from-all-scrape-targets-allowed-ports注解
3. 对于extension-*命名空间，需要添加pod-label-selector-namespace-alias注解

Webhook服务器配置

Webhook服务器需要允许来自API服务器的访问，典型配置如下：

annotations:
  networking.resources.gardener.cloud/from-all-webhook-targets-allowed-ports: '[{"port":9443,"protocol":"TCP"}]'
  networking.resources.gardener.cloud/pod-label-selector-namespace-alias: extensions
  networking.resources.gardener.cloud/namespace-selectors: '[{"matchLabels":{"kubernetes.io/metadata.name":"garden"}}]'

自定义命名空间处理

扩展命名空间覆盖

对于不在默认范围内的命名空间，可以通过配置扩展：

controllers:
  networkPolicy:
    additionalNamespaceSelectors:
    - matchLabels:
        foo: bar

API服务器通信配置

1. 出站通信：命名空间需要标记networking.gardener.cloud/access-target-apiserver=allowed
2. Pod需要标记适当的标签以允许访问特定API服务器

Shoot集群网络策略

设计理念差异

与Garden/Seed集群不同，Shoot集群的网络策略设计更加灵活：

1. 仅在kube-system命名空间部署预定义策略
2. 不自动创建deny-all策略（可由用户手动创建）
3. 提供基础策略模板供用户参考

核心网络策略

Shoot集群中的关键网络策略包括：

• gardener.cloud--allow-dns：允许DNS相关通信
• gardener.cloud--allow-from-seed：允许来自Seed集群的通信
• gardener.cloud--allow-to-dns：允许Pod访问DNS服务
• gardener.cloud--allow-to-apiserver：允许Pod访问API服务器
• gardener.cloud--allow-private-network：允许私有网络相关通信

Webhook服务器特殊处理

由于控制平面组件运行在Seed集群，Shoot集群中的Webhook服务器需要：

1. 允许来自私有网络端点的通信
2. 可以使用简化版的网络策略模板

示例策略：

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-from-seed
  namespace: custom-namespace
spec:
  ingress:
  - from:
    - namespaceSelector:
        matchLabels:
          gardener.cloud/purpose: kube-system
      podSelector:
        matchLabels:
          app: private-network-shoot

扩展开发注意事项

对于Gardener扩展开发者，需要注意：

1. 部署到Shoot命名空间的组件需要正确标记网络策略标签
2. 部署到Shoot集群kube-system命名空间的组件可能需要自定义网络策略
3. 确保组件间的必要通信不被默认策略阻断

最佳实践

1. 遵循最小权限原则，仅开放必要的网络访问
2. 定期审查网络策略，确保与业务需求一致
3. 对于关键组件，实施严格的网络隔离
4. 利用标签和注解简化策略管理
5. 在测试环境中验证网络策略效果

通过理解Gardener中的NetworkPolicy实现机制，管理员和开发者可以更好地规划和管理集群网络安全性，构建更加健壮的Kubernetes环境。