Sommaire

Les polices réseau (network policies) network policies

1. Présentation du mécanisme

Un moyen de contrôler les accès serait de les définir en fonction de règles applicatives. Tous les pods d’un même service auraient le droit de communiquer entre eux (les pods de présentation avec leur base de données, par exemple), mais pas avec les autres. Un autre exemple de restriction serait de ne pas autoriser la communication entre pods de deux espaces de noms différents.

Dans Kubernetes, ce mécanisme est pris en charge à l’aide des ressources de type NetworkPolicy.

2. Kubernetes Network Plugins

Afin de pouvoir utiliser ce type de ressources, le cluster Kubernetes doit disposer d’une couche de gestion du réseau supportant la notion de polices. Cette couche répond à une norme : CNI (Container Network Interface).

Cette norme est implémentée par des pilotes ( CalicoCalico, Weave, Flannel, etc.). Le site officiel de Kubernetes en référence une partie sur la page suivante : https://kubernetes.io/docs/concepts/cluster-administration/networking/

Ces pilotes utilisent des mécanismes différents pour réaliser le contrôle des communications :

  • OverlayOverlay : encapsulation de la communication dans un réseau virtuel (VLAN, veth, etc.),

  • UnderlayUnderlay : utilisation des ressources matérielles sous-jacentes (switchs, routeurs, etc.).

Parmi les nombreuses solutions, l’une ...