LoginSignup
0
0

More than 3 years have passed since last update.

求ム!Cloud Nativeアプリケーション開発のTips!【PR】日本マイクロソフト Advent Calendar 2020Day 23
@shingo_kawahara(Shingo Kawahara)in株式会社セゾンテクノロジー

Azure Kubernetes ServiceでAzure Network Policyを試してみた

Posted at

求ム!Cloud Nativeアプリケーション開発のTips!【PR】日本マイクロソフト Advent Calendar 2020 の23日目の記事です。

Kubernetesのデフォルトでは、Namespace間の通信は全て許可されています。
Namespace毎に異なるワークロードを動かしていた場合、アクセス制御を掛けたいシーンがあると思いAKS上(Azure Network Policy)で実現可能か試してみました。

Azure Kubernetes Service (AKS) のネットワーク ポリシーを使用したポッド間のトラフィックの保護 に手順がありますが、独自に検証したものやハマったポイントなどを書き残します。

AKS作成

こちら にAzure CLIでAKSを作成するコマンドがありますのでそれに倣って作成します。
ここで注意すべきは、作成したvNetのIAMでAKS ServicePrincipalに対して共同作成者ロールを割り当てることです。
これをやっておかないとNetworkPolicyが反応しませんでした。
Azure Portalから作った場合は忘れずに設定しないといけないです。

Network Policy設定

今回はproduction Namespaceに、他のNamespaceからアクセスできないように設定してみます。

  • テスト用Namespaceを作ります。
# kubectl create ns production
# kubectl label namespace/production env=production
# kubectl create ns development
# kubectl label namespace/development env=development
  • NginxをProductionに作ります。
# kubectl create deployment nginx --image=nginx -n production
# kubectl expose deployment nginx --port=80 -n production
# kubectl get all -n production
  • テスト用のPodをProduction Namespaceに作ります。remote file existsが出れば疎通できています。
# kubectl run busybox --rm -ti --image=busybox -n production -- /bin/sh
/ # wget --spider --timeout=1 nginx
remote file exists
/ # exit
  • テスト用のPodをDevelopment Namespaceに作ります。まだNetworkPolicyを当ててないので疎通できます。
# kubectl run busybox --rm -ti --image=busybox -n development -- /bin/sh
/ # wget --spider --timeout=1 nginx.production
remote file exists
/ # exit
  • network-policy.yamlを作成します。
network-policy.yaml
kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
  name: network-policy
  namespace: production
spec:
  podSelector: {}
  ingress:
  - from:
    - namespaceSelector:
        matchLabels:
          env: production
  • Production Namespaceに適用します。
# kubectl apply -f network-policy.yaml
  • テスト用のPodをDevelopment Namespaceに作ります。timeoutになるはずです。
# kubectl run busybox --rm -ti --image=busybox -n development -- /bin/sh
/ # wget --spider --timeout=1 nginx.production
wget: download timed out
/ # exit
  • テスト用のPodをProduction Namespaceに作ります。同じNamespace内では疎通できるはずです。
# kubectl run busybox --rm -ti --image=busybox -n production -- /bin/sh
/ # wget --spider --timeout=1 nginx
remote file exists
/ # exit
0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0