1.10. 保护网络

OpenShift Container Platform 使用软件定义网络 (SDN) 来提供一个统一的集群网络，它允许集群中的不同容器相互间进行通信。

默认情况下，网络策略模式使项目中的所有 Pod 都可被其他 Pod 和网络端点访问。要在一个项目中隔离一个或多个 Pod，您可以在该项目中创建 NetworkPolicy 对象来指示允许的入站连接。使用多租户模式，您可以为 Pod 和服务提供项目级别的隔离。

使用网络策略，您可以在同一项目中将 Pod 相互隔离。网络策略可以拒绝对 Pod 的所有网络访问，只允许入口控制器的连接，拒绝其他项目中的 Pod 的连接，或为网络的行为方式设置类似的规则。

默认情况下，每个运行中的容器只有一个网络接口。Multus CNI 插件可让您创建多个 CNI 网络，然后将任何这些网络附加到您的 Pod。这样，您可以执行一些操作，例如将私有数据单独放在更为受限的网络上，并在每个节点上使用多个网络接口。

OpenShift Container Platform 允许您为单个集群上的网络流量分段以创建多租户集群，使用户、团队、应用程序和环境与非全局资源隔离。

如何配置从 OpenShift Container Platform 集群外对 Kubernetes 服务的访问会产生很多安全影响。除了公开 HTTP 和 HTTPS 路由外，入口路由还允许您设置 NodePort 或 LoadBalancer 入口类型。NodePort 从每个集群 worker 中公开应用程序的服务 API 对象。借助 LoadBalancer，您可以将外部负载均衡器分配给 OpenShift Container Platform 集群中关联的服务 API 对象。

OpenShift Container Platform 提供了使用路由器或防火墙方法控制出口流量的功能。例如，您可以使用 IP 白名单来控制对数据库的访问。集群管理员可以为 OpenShift Container Platform SDN 网络供应商中的项目分配一个或多个出口 IP 地址。同样，集群管理员可以使用出口防火墙防止出口流量传到 OpenShift Container Platform 集群之外。

通过分配固定出口 IP 地址，您可以将特定项目的所有出站流量分配到该 IP 地址。使用出口防火墙时，您可以防止 Pod 连接到外部网络，防止 Pod 连接到内部网络，或限制 Pod 对特定内部子网的访问。