首页 > 网站技巧 > 服务器 > 云和虚拟化 > 云其它 > k8s中的NetworkPolicy

k8s中的NetworkPolicy使用详解

2025-10-14 09:37:37 作者：火星MARK

这篇文章主要介绍了k8s中的NetworkPolicy使用方式,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教

在 Kubernetes (k8s) 中，NetworkPolicy 是一种用于控制 Pod 之间网络流量的资源对象，它基于 Pod 标签（Labels）和命名空间（namespace）来定义网络访问规则，实现了对 Pod 进出流量的精细化控制。

核心作用

隔离网络流量：默认情况下，k8s 集群中所有 Pod 之间可以自由通信，NetworkPolicy 可限制这种通信，只允许符合规则的流量通过。
定义访问策略：通过规则指定 “哪些 Pod 可以被谁访问” 或 “哪些 Pod 可以访问谁”。
增强安全性：遵循最小权限原则，只开放必要的网络访问，减少攻击面。

工作原理

NetworkPolicy 依赖 网络插件（CNI） 实现（如 Calico、Cilium、Weave Net 等），不同插件对策略的支持可能存在差异。

其核心逻辑是：

基于 Pod 标签和命名空间筛选目标 Pod（策略作用的对象）。
对目标 Pod 的入站（Ingress）和出站（Egress）流量定义允许 / 拒绝规则。
规则匹配的维度包括：源 / 目标 Pod 标签、命名空间标签、IP 地址段、端口等。

关键概念

Pod 选择器（podSelector）用于指定策略作用于哪些 Pod（通过标签匹配）。若为空，则匹配命名空间内所有 Pod。

命名空间选择器（namespaceSelector）用于匹配特定命名空间（通过标签），常与 podSelector 结合使用，限定跨命名空间的流量。

入站规则（Ingress）控制流入目标 Pod 的流量，可定义：

允许的源（来自哪些 Pod / 命名空间 / IP）。
允许的端口和协议（TCP/UDP/SCTP）。

出站规则（Egress）控制从目标 Pod 流出的流量，可定义：

允许的目标（到哪些 Pod / 命名空间 / IP）。
允许的端口和协议。

默认策略

若未定义任何 NetworkPolicy，所有流量默认允许。
若定义了策略，未被规则允许的流量将被默认拒绝。

基本示例

1. 拒绝所有入站流量（默认拒绝）

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: default-deny-ingress
  namespace: default
spec:
  podSelector: {}  # 匹配命名空间内所有 Pod
  policyTypes:
  - Ingress  # 只控制入站流量

该策略会拒绝 default 命名空间内所有 Pod 的入站流量（无任何允许规则）。

2. 允许特定 Pod 访问

假设有标签为 app: frontend 的 Pod 需要访问标签为 app: backend 的 Pod（端口 8080）：

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: backend-allow-frontend
  namespace: default
spec:
  podSelector:
    matchLabels:
      app: backend  # 策略作用于 backend Pod
  policyTypes:
  - Ingress
  ingress:
  - from:
    - podSelector:
        matchLabels:
          app: frontend  # 允许 frontend Pod 访问
    ports:
    - protocol: TCP
      port: 8080  # 只允许 8080 端口

3. 允许跨命名空间访问

允许 prod 命名空间（标签 env: prod）中的 Pod 访问 default 命名空间中 app: db 的 Pod（端口 5432）：

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: db-allow-prod
  namespace: default
spec:
  podSelector:
    matchLabels:
      app: db
  policyTypes:
  - Ingress
  ingress:
  - from:
    - namespaceSelector:
        matchLabels:
          env: prod  # 匹配 prod 命名空间
    ports:
    - protocol: TCP
      port: 5432

4. 控制出站流量

限制 app: backend 的 Pod 只能访问 app: db 的 Pod（端口 5432）和外部 IP 段 10.0.0.0/24：

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: backend-egress-policy
  namespace: default
spec:
  podSelector:
    matchLabels:
      app: backend
  policyTypes:
  - Egress
  egress:
  - to:
    - podSelector:
        matchLabels:
          app: db
    ports:
    - protocol: TCP
      port: 5432
  - to:
    - ipBlock:
        cidr: 10.0.0.0/24  # 允许访问该 IP 段

注意事项

顺序无关：NetworkPolicy 规则没有优先级，只要有一条规则匹配，流量就会被允许。
命名空间隔离：策略仅作用于所在命名空间的 Pod，跨命名空间需通过 namespaceSelector 配置。
状态性：部分网络插件（如 Calico）支持基于连接状态的规则（如允许已建立的连接）。
默认策略建议：生产环境中通常先配置 “默认拒绝所有流量”，再按需开放必要规则，即 “白名单模式”。

通过 NetworkPolicy，Kubernetes 实现了 Pod 级别的网络隔离，是构建安全集群网络的核心工具之一。实际使用时需结合具体网络插件的特性进行配置。

总结

以上为个人经验，希望能给大家一个参考，也希望大家多多支持脚本之家。