Esta página se ha traducido con Cloud Translation API.

Configurar políticas de red de Kubernetes

En este tema se explica cómo usar las políticas de red de Kubernetes para proteger los pods de Cassandra y Redis en un clúster de Apigee Hybrid .

Información general

Si quieres controlar el flujo de tráfico a nivel de dirección IP o de puerto (capa 3 u 4 de OSI), puedes usar las políticas de red de Kubernetes para las aplicaciones de tu clúster. Las políticas de red son un constructo centrado en las aplicaciones que puedes usar para especificar cómo se permite que un pod se comunique con otros pods de tu clúster.

En Apigee hybrid, puedes usar políticas de red de Kubernetes para aislar los pods de Cassandra de forma que solo se permita la comunicación con Cassandra a los pods que estén diseñados para ello, como los pods de Runtime, Synchronizer y Mart. Otros pods del clúster, como los pods de Ingres y Watcher, que no necesitan comunicarse con Cassandra, no pueden hacerlo.

Si no tienes restricciones sobre qué pods pueden interactuar en tu clúster, no necesitas usar políticas de red de Kubernetes.

Requisitos previos

Habilita las políticas de red en tu clúster.
- GKE:Consulta Habilitar el cumplimiento de las políticas de red.
- EKS: consulta Instalar el complemento del motor de políticas de red de Calico.
- AKS consulta Proteger el tráfico entre pods mediante políticas de red en Azure Kubernetes Service (AKS) .
- Otras plataformas: busca las instrucciones para habilitar las políticas de red en tu clúster del proveedor de tu plataforma específica.
Un clúster de Apigee Hybrid en ejecución, versión 1.8 o posterior.

Procedimiento

Si tienes la versión 1.8.x de Hybrid, descarga y extrae el paquete de la versión más reciente de Apigee.

Linux

curl -LO \
  https://storage.googleapis.com/apigee-release/hybrid/apigee-hybrid-setup/1.9.4/apigeectl_linux_64.tar.gz

macOS

curl -LO \
  https://storage.googleapis.com/apigee-release/hybrid/apigee-hybrid-setup/1.9.4/apigeectl_mac_64.tar.gz

Windows

curl -LO ^
   https://storage.googleapis.com/apigee-release/hybrid/apigee-hybrid-setup/1.9.4/apigeectl_windows_64.zip

Los archivos de configuración de las políticas de red de Kubernetes para Cassandra y Redis se encuentran en la siguiente estructura de directorios de tu directorio $APIGEECTL_HOME:

  └── apigeectl
      └── examples
          └── network-policies
              └── securing-cassandra-redis-pods
                  ├── README.md
                  ├── base
                  │   └── cluster-scoped-communication
                  │       ├── cassandra
                  │       │   ├── kustomization.yaml
                  │       │   ├── networkpolicy-cassandra-allow-controller.yaml
                  │       │   ├── networkpolicy-cassandra-allow-intranode.yaml
                  │       │   ├── networkpolicy-cassandra-allow-mart.yaml
                  │       │   ├── networkpolicy-cassandra-allow-runtime.yaml
                  │       │   ├── networkpolicy-cassandra-alow-sync.yaml
                  │       │   ├── networkpolicy-cassandra-create-user.yaml
                  │       │   ├── networkpolicy-cassandra-monitoring.yaml
                  │       │   └── networkpolicy-cassandra-remove-dc.yaml
                  │       └── redis
                  │           ├── kustomization.yaml
                  │           ├── networkpolicy-redis-envoy.yaml
                  │           └── networkpolicy-redis.yaml
                  └── overlays
                      └── ORG_NAME
                          └── kustomization.yaml

Donde ORG_NAME es el nombre de tu organización de Apigee.

Etiqueta los espacios de nombres con el siguiente comando:

kubectl label namespace apigee app=apigee
kubectl label namespace apigee-system app=apigee-system

Aplica las políticas de red con el siguiente comando:

kubectl apply -k ${APIGEECTL_HOME}/examples/network-policies/securing-cassandra-redis-pods/overlays/ORG_NAME

Valida que las políticas de red se hayan aplicado con el siguiente comando:

kubectl get netpol -n apigee

Las siguientes políticas de red deben crearse en el espacio de nombres apigee:

      NAME                        POD-SELECTOR              AGE
      cassandra-from-mart         app=apigee-cassandra      4d5h
      cassandra-from-runtime      app=apigee-cassandra      4d5h
      cassandra-from-sync         app=apigee-cassandra      4d5h
      cassandra-to-cassandra      app=apigee-cassandra      4d5h
      controller-to-cassandra     app=apigee-cassandra      4d5h
      redis-from-redisenvoy       app=apigee-redis          3d18h
      redisenvoy-from-runtime     app=apigee-redis-envoy    3d18h