k8s中的NetworkPolicy使用详解
在 Kubernetes (k8s) 中,NetworkPolicy 是一种用于控制 Pod 之间网络流量的资源对象,它基于 Pod 标签(Labels)和命名空间(namespace)来定义网络访问规则,实现了对 Pod 进出流量的精细化控制。
核心作用
- 隔离网络流量:默认情况下,k8s 集群中所有 Pod 之间可以自由通信,NetworkPolicy 可限制这种通信,只允许符合规则的流量通过。
- 定义访问策略:通过规则指定 “哪些 Pod 可以被谁访问” 或 “哪些 Pod 可以访问谁”。
- 增强安全性:遵循最小权限原则,只开放必要的网络访问,减少攻击面。
工作原理
NetworkPolicy 依赖 网络插件(CNI) 实现(如 Calico、Cilium、Weave Net 等),不同插件对策略的支持可能存在差异。
其核心逻辑是:
- 基于 Pod 标签和命名空间筛选目标 Pod(策略作用的对象)。
- 对目标 Pod 的入站(Ingress)和出站(Egress)流量定义允许 / 拒绝规则。
- 规则匹配的维度包括:源 / 目标 Pod 标签、命名空间标签、IP 地址段、端口等。
关键概念
Pod 选择器(podSelector)用于指定策略作用于哪些 Pod(通过标签匹配)。若为空,则匹配命名空间内所有 Pod。
命名空间选择器(namespaceSelector)用于匹配特定命名空间(通过标签),常与 podSelector 结合使用,限定跨命名空间的流量。
入站规则(Ingress)控制流入目标 Pod 的流量,可定义:
- 允许的源(来自哪些 Pod / 命名空间 / IP)。
- 允许的端口和协议(TCP/UDP/SCTP)。
出站规则(Egress)控制从目标 Pod 流出的流量,可定义:
- 允许的目标(到哪些 Pod / 命名空间 / IP)。
- 允许的端口和协议。
默认策略
- 若未定义任何 NetworkPolicy,所有流量默认允许。
- 若定义了策略,未被规则允许的流量将被默认拒绝。
基本示例
1. 拒绝所有入站流量(默认拒绝)
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: default-deny-ingress
namespace: default
spec:
podSelector: {} # 匹配命名空间内所有 Pod
policyTypes:
- Ingress # 只控制入站流量该策略会拒绝 default 命名空间内所有 Pod 的入站流量(无任何允许规则)。
2. 允许特定 Pod 访问
假设有标签为 app: frontend 的 Pod 需要访问标签为 app: backend 的 Pod(端口 8080):
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: backend-allow-frontend
namespace: default
spec:
podSelector:
matchLabels:
app: backend # 策略作用于 backend Pod
policyTypes:
- Ingress
ingress:
- from:
- podSelector:
matchLabels:
app: frontend # 允许 frontend Pod 访问
ports:
- protocol: TCP
port: 8080 # 只允许 8080 端口3. 允许跨命名空间访问
允许 prod 命名空间(标签 env: prod)中的 Pod 访问 default 命名空间中 app: db 的 Pod(端口 5432):
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: db-allow-prod
namespace: default
spec:
podSelector:
matchLabels:
app: db
policyTypes:
- Ingress
ingress:
- from:
- namespaceSelector:
matchLabels:
env: prod # 匹配 prod 命名空间
ports:
- protocol: TCP
port: 54324. 控制出站流量
限制 app: backend 的 Pod 只能访问 app: db 的 Pod(端口 5432)和外部 IP 段 10.0.0.0/24:
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: backend-egress-policy
namespace: default
spec:
podSelector:
matchLabels:
app: backend
policyTypes:
- Egress
egress:
- to:
- podSelector:
matchLabels:
app: db
ports:
- protocol: TCP
port: 5432
- to:
- ipBlock:
cidr: 10.0.0.0/24 # 允许访问该 IP 段注意事项
- 顺序无关:NetworkPolicy 规则没有优先级,只要有一条规则匹配,流量就会被允许。
- 命名空间隔离:策略仅作用于所在命名空间的 Pod,跨命名空间需通过
namespaceSelector配置。 - 状态性:部分网络插件(如 Calico)支持基于连接状态的规则(如允许已建立的连接)。
- 默认策略建议:生产环境中通常先配置 “默认拒绝所有流量”,再按需开放必要规则,即 “白名单模式”。
通过 NetworkPolicy,Kubernetes 实现了 Pod 级别的网络隔离,是构建安全集群网络的核心工具之一。实际使用时需结合具体网络插件的特性进行配置。
总结
以上为个人经验,希望能给大家一个参考,也希望大家多多支持脚本之家。
相关文章
StatefulSet的每个Pod单独创建Service实践
本文介绍了如何为StatefulSet的每个Pod创建独立的Service,并提供了一个示例脚本,以批量生成Service定义,通过这种方式,可以实现从集群外部访问每个Pod的功能,并且可以根据需要配置不同的Service类型(如NodePort、LoadBalancer、ClusterIP+Ingress等)2026-01-01
K8S下http请求在ingress和nginx间无限循环的问题及解决
文章描述了UAT环境中因Nginx与IngressController代理循环导致400错误的排查过程,发现proxy_set_header Host配置引发Host头携带Nginx域名,导致请求反复转发,最终X-Forwarded-For头溢出,解决方法是移除该配置2025-07-07
这篇文章主要介绍了k8s安装calico时如何选择网卡问题,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教2024-07-07
这篇文章主要介绍了使用sealos快速搭建K8s集群环境,主要包括sealos安装方法,虚拟机设置方法,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下2022-09-09
这篇文章主要介绍了玩客云安装青龙面板实现京东签到薅羊毛,本人准备的服务器就是玩客云,只需运行一些常用的 docker 容器就行,需要的朋友可以参考下2022-05-05
这篇文章主要介绍了K8S集群需要开放的端口说明,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教2025-05-05
最近工作中用到了GlusterFS作为Kubernetes的存储,这篇文章主要给大家介绍了关于kubernetes存储之GlusterFS集群的相关资料,文中通过示例代码介绍的非常详细,需要的朋友可以参考下2022-04-04
这篇文章主要介绍了kubernetes的控制器和标签的相关资料,帮助大家更好的理解和学习使用k8s,感兴趣的朋友可以了解下2021-04-04
Dashboard 支持 Kubeconfig 和 Token 两种认证方式,这里测试 Token 认证方式登录,本文介绍K8S的dashboard如何使用token登录,感兴趣的朋友跟随小编一起看看吧2024-06-06
Kubernetes临时容器用于调试无shell容器,通过shareProcessNamespace参数实现安全登录与故障排查,排查后可删除,版本1.25及以上默认启用,需使用预装debug工具的镜像(如busybox)2025-08-08
最新评论