Kubernetes 网络插图指南（系列二）：网络策略和服务发现

在这篇 Kubernetes 网络插图指南的第二部分中，我们将深入探讨网络策略和服务发现这两个关键概念。在第一部分中，我们介绍了 Kubernetes 的网络模型，以及 Pod 如何在同一节点或不同节点上相互通信。现在，我们将了解如何控制 Pod 之间的流量，以及如何让 Pod 彼此找到。

在开始之前，我想强调一下我们将在本文中使用的插图。这些插图旨在以一种简单易懂的方式说明复杂的概念。虽然它们可能与 Kubernetes 的实际实现并不完全相同，但它们将有助于你理解这些概念的基本原理。

网络策略

网络策略允许你控制 Pod 之间的流量。它们基于一组规则，这些规则指定了允许或拒绝流量的源和目标。使用网络策略，你可以实现以下目标：

• 限制同一命名空间中的 Pod 之间访问。
• 限制不同命名空间中的 Pod 之间的访问。
• 允许 Pod 访问外部服务，如数据库或 API 网关。

让我们通过一个简单的示例来说明网络策略是如何工作的。假设你有一个名为 "web" 的命名空间，其中包含一个名为 "frontend" 的 Pod。你希望将对 "frontend" Pod 的访问限制为来自同一命名空间中的其他 Pod。为此，你可以创建一个网络策略，如下所示：

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: restrict-frontend-access
spec:
  podSelector:
    matchLabels:
      app: frontend
  ingress:
  - from:
    - podSelector: {}

此网络策略将允许来自任何 Pod 的入站流量，只要该 Pod 位于 "web" 命名空间中。你还可以使用网络策略来限制出站流量。例如，你可以创建一个网络策略，阻止 "frontend" Pod 访问 "database" 命名空间中的任何 Pod。

服务发现

服务发现是 Kubernetes 中的一项关键功能，它允许 Pod 彼此找到。在 Kubernetes 中，服务充当 Pod 的抽象层。你可以创建服务来表示一组 Pod，然后使用该服务名称来访问这些 Pod。服务发现机制负责将服务名称解析为 Pod 的 IP 地址和端口。

Kubernetes 提供了多种服务发现机制，包括：

• DNS：Kubernetes 在集群中创建了一个内部 DNS 服务器，可以解析服务名称。
• 环境变量：Kubernetes 将每个服务的 IP 地址和端口存储在环境变量中。
• etcd：Kubernetes 将服务信息存储在 etcd 中，Pod 可以查询 etcd 来查找服务。

默认情况下，Kubernetes 使用 DNS 作为其服务发现机制。然而，你也可以选择使用环境变量或 etcd。

总结

网络策略和服务发现是 Kubernetes 网络中最重要的两个概念。网络策略允许你控制 Pod 之间的流量，而服务发现允许 Pod 彼此找到。通过了解这两个概念，你可以更有效地管理和保护你的 Kubernetes 集群。

在下一篇文章中，我们将探讨 Kubernetes 网络中的其他高级概念，例如网络插件和负载均衡。