本篇文章為大家展示了如何進(jìn)行Tungsten Fabric與K8s集成及創(chuàng)建隔離命名空間，內(nèi)容簡明扼要并且容易理解，絕對能使你眼前一亮，通過這篇文章的詳細(xì)介紹希望你能有所收獲。

創(chuàng)新互聯(lián)主營九江網(wǎng)站建設(shè)的網(wǎng)絡(luò)公司,主營網(wǎng)站建設(shè)方案,app軟件定制開發(fā),九江h(huán)5微信小程序開發(fā)搭建,九江網(wǎng)站營銷推廣歡迎九江等地區(qū)企業(yè)咨詢K8s與Tungsten Fabric集成后有四種配置模式，分別為：默認(rèn)模式、自定義隔離模式、命名空間隔離模式、嵌套模式。默認(rèn)模式：Tungsten Fabric創(chuàng)建一個由所有命名空間共享的虛擬網(wǎng)絡(luò)，并從中分配service和pod的IP地址，在Kubernetes集群中產(chǎn)生的所有命名空間中的所有pod都能夠彼此通信。自定義隔離模式：管理員和應(yīng)用程序開發(fā)人員可以添加注釋（"opencontrail.org/network: "）來指定虛擬網(wǎng)絡(luò)。在這個虛擬網(wǎng)絡(luò)中，一個命令空間中的一個或所有pod將在這個虛擬網(wǎng)絡(luò)中被啟動。如果該注釋是在pod上配置的，那么pod將在該網(wǎng)絡(luò)中啟動；如果注釋是在命名空間中配置的，那么命名空間中的所有pod都將在該網(wǎng)絡(luò)中啟動。命名空間隔離模式：集群管理員可以在創(chuàng)建新的命令空間時，添加注釋（"opencontrail.org/isolation : true"）以啟用命令空間隔離。因此，該命名空間中的服務(wù)不能從其他命名空間訪問，除非明確定義了安全組或網(wǎng)絡(luò)策略以允許訪問，或者啟動注釋（"opencontrail.org/isolation.service : false"）單獨(dú)允許該命名空間的service可以被其他命令空間的pod訪問。嵌套模式：Tungsten Fabric支持與基于OpenStack虛擬機(jī)部署的Kubernetes集群集成。Tungsten Fabric提供了一個可折疊的控制和數(shù)據(jù)平面，一個TF控制平面和一個網(wǎng)絡(luò)堆棧管理和服務(wù)同時在OpenStack和Kubernetes兩個集群中。有了統(tǒng)一的控制和數(shù)據(jù)平面，可以無縫地交互和配置這些集群，不需要單獨(dú)為每個集群部署TF。 

創(chuàng)建隔離命名空間

在此將會創(chuàng)建一個隔離的命名空間，名為isolated-ns，具體配置文件如下： 
執(zhí)行kubectl的創(chuàng)建命令之后，對應(yīng)的命名空間隨即被創(chuàng)建。 
而在TF上也會有對應(yīng)的policy和虛擬網(wǎng)絡(luò)被創(chuàng)建出來，分別為：TF policy: k8s-isolated-ns-pod-service-np這條TF policy的作用，是允許附加了該條策略的虛擬網(wǎng)絡(luò)能夠訪問命令空間isolated-ns中的service clusterip。TF network: k8s-isolated-ns-pod-network , k8s-isolated-ns-service-network
這兩個網(wǎng)絡(luò)分別使用了命名空間default里面的IPAM，所以在這個命令空間isolated-ns中默認(rèn)創(chuàng)建出來的pod和service所分配的IP所屬的IP池，與命名空間default中的一樣，即pod（10.32.0.0/12）和service（10.96.0.0/12）。 

驗(yàn)證與非隔離命令空間的網(wǎng)絡(luò)連通性

接下來在隔離的命令空間isolated-ns中創(chuàng)建pod和service，驗(yàn)證isolated-ns與其他命令空間的連通性。首先在default和isolated-ns兩個命令空間中分別創(chuàng)建兩個pod和一個service。 
所以目前的資源為：2個命名空間：default，isolated-ns2個service：nginx-default (10.105.147.31)，nginx-isolated (10.97.162.157)4個pod：nginx-default-test01 (10.47.255.251)nginx-default-test02 (10.47.255.250)nginx-isolated-test01 (10.47.255.249)nginx-isolated-test02 (10.47.255.247) 網(wǎng)絡(luò)連通性驗(yàn)證流程：1. 從命名空間default中的pod nginx-default-test01去ping其他三個pod，結(jié)果是pod nginx-default-test01只能連通同一命名空間中pod，而無法連通隔離命名空間中的pod。    
2. 從命名空間isolated-ns中的pod nginx-isolated-test01去ping其他三個pod，結(jié)果是pod nginx-isolated-test01只能連通同一命名空間中pod，而無法連通其他命名空間中的pod。 
3. 從命名空間default中的pod nginx-default-test01去curl分別在兩個命令空間中的service，結(jié)果是pod nginx-default-test01只能請求default和kube-system這些非隔離命名空間中的service，而無法請求隔離命名空間中的service。 
4. 從命名空間isolated-ns中的pod nginx-isolated-test01去curl分別在兩個命令空間中的service，結(jié)果是pod nginx-isolated-test01只能請求default和kube-system這些非隔離命名空間中的service，而無法請求隔離命名空間中的service，即便該service在自己所在的命名空間。 
所有驗(yàn)證結(jié)果綜合起來就是，非隔離命名空間和隔離命名空間之后建的pod默認(rèn)無法互訪——即便在相同的IPAM中，并且非隔離命名的service可以被任何pod訪問，而隔離命名空間的service默認(rèn)無法被訪問?，F(xiàn)在需要添加TF policy讓pod之間，pod和service之間能夠連通。對于pod之間的訪問，需要添加如下TF policy，該條policy是連接兩個網(wǎng)絡(luò)，k8s-default-pod-network與k8s-isolated-ns-pod-network。 
創(chuàng)建完成，分別將這條Policy附加到隔離命名空間和非隔離命令空間的pod網(wǎng)絡(luò)上，k8s-default-pod-network與k8s-isolated-ns-pod-network。 
 
此時再進(jìn)行pod之間的網(wǎng)絡(luò)連接驗(yàn)證，結(jié)果是兩個命名空間的pod之間已經(jīng)能夠通信。 
對于pod與service之間的訪問，需要添加如下TF policy，該條policy是允許指定網(wǎng)絡(luò)能夠訪問isolated-ns的service。 
創(chuàng)建完成后，再將這條Policy附加到隔離命名空間和非隔離命令空間的pod網(wǎng)絡(luò)上，k8s-default-pod-network與k8s-isolated-ns-pod-network，以及隔離命名空間的service網(wǎng)絡(luò)k8s-isolated-ns-service-network上。 
 

此時再進(jìn)行pod與service之間的網(wǎng)絡(luò)連接驗(yàn)證，結(jié)果是兩個命名空間的pod都可以訪問到隔離命名空間中的service。 
在隔離命名空間和非隔離命名空間的流量全通之后，還可以通過安全策略去做進(jìn)一步的流量控制。

上述內(nèi)容就是如何進(jìn)行Tungsten Fabric與K8s集成及創(chuàng)建隔離命名空間，你們學(xué)到知識或技能了嗎？如果還想學(xué)到更多技能或者豐富自己的知識儲備，歡迎關(guān)注創(chuàng)新互聯(lián)-成都網(wǎng)站建設(shè)公司行業(yè)資訊頻道。

當(dāng)前名稱：如何進(jìn)行TungstenFabric與K8s集成及創(chuàng)建隔離命名空間-創(chuàng)新互聯(lián)
鏈接地址：http://weahome.cn/article/cddepi.html