Kubernetes网络策略完全指南引言在 Kubernetes 中网络策略Network Policy是实现微服务间网络隔离的关键机制。通过网络策略可以控制 Pod 之间以及 Pod 与外部的网络通信。本文将深入探讨 Kubernetes 网络策略的配置和最佳实践。一、网络策略概述1.1 网络策略作用┌─────────────────────────────────────────────────────────────┐ │ 网络策略作用示意 │ ├─────────────────────────────────────────────────────────────┤ │ │ │ ┌──────────┐ 允许 ┌──────────┐ 禁止 ┌──────────┐│ │ │ Pod A │──────────│ Pod B │───────────×│ Pod C ││ │ └──────────┘ └──────────┘ └──────────┘│ │ │ │ │ │ × × │ │ │ │ │ │ ┌──────────┐ ┌──────────┐ │ │ │ Pod D │ │ Pod E │ │ │ └──────────┘ └──────────┘ │ │ │ └─────────────────────────────────────────────────────────────┘1.2 网络策略类型类型描述作用范围Ingress入站流量控制控制进入 Pod 的流量Egress出站流量控制控制 Pod 发出的流量Ingress Egress双向流量控制同时控制入站和出站二、网络策略基础配置2.1 基础 Ingress 策略apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: deny-all-ingress spec: podSelector: matchLabels: app: my-app policyTypes: - Ingress ingress: - from: - podSelector: matchLabels: role: frontend ports: - protocol: TCP port: 802.2 基础 Egress 策略apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: allow-dns-egress spec: podSelector: matchLabels: app: my-app policyTypes: - Egress egress: - to: - namespaceSelector: matchLabels: name: kube-system podSelector: matchLabels: k8s-app: kube-dns ports: - protocol: UDP port: 532.3 双向策略apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: full-network-policy spec: podSelector: matchLabels: app: api policyTypes: - Ingress - Egress ingress: - from: - podSelector: matchLabels: app: frontend ports: - protocol: TCP port: 8080 egress: - to: - podSelector: matchLabels: app: database ports: - protocol: TCP port: 5432三、网络策略选择器3.1 Pod SelectorapiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: pod-selector-policy spec: podSelector: matchLabels: app: backend ingress: - from: - podSelector: matchLabels: app: frontend3.2 Namespace SelectorapiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: namespace-selector-policy spec: podSelector: matchLabels: app: sensitive ingress: - from: - namespaceSelector: matchLabels: environment: production3.3 IP Block 选择器apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: ip-block-policy spec: podSelector: matchLabels: app: api ingress: - from: - ipBlock: cidr: 192.168.0.0/24 except: - 192.168.0.100/323.4 组合选择器apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: combined-selector-policy spec: podSelector: matchLabels: app: database ingress: - from: - podSelector: matchLabels: role: api namespaceSelector: matchLabels: environment: production四、网络策略高级配置4.1 多端口配置apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: multi-port-policy spec: podSelector: matchLabels: app: web ingress: - from: - ipBlock: cidr: 0.0.0.0/0 ports: - protocol: TCP port: 80 - protocol: TCP port: 4434.2 多规则配置apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: multi-rule-policy spec: podSelector: matchLabels: app: api ingress: - from: - podSelector: matchLabels: app: frontend ports: - protocol: TCP port: 8080 - from: - ipBlock: cidr: 10.0.0.0/8 ports: - protocol: TCP port: 84434.3 默认拒绝策略apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: default-deny-all spec: podSelector: {} policyTypes: - Ingress - Egress五、网络策略场景实践5.1 数据库隔离策略apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: database-isolation spec: podSelector: matchLabels: app: postgres policyTypes: - Ingress ingress: - from: - podSelector: matchLabels: app: api - podSelector: matchLabels: app: worker ports: - protocol: TCP port: 54325.2 前端服务策略apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: frontend-policy spec: podSelector: matchLabels: app: frontend policyTypes: - Ingress - Egress ingress: - from: - ipBlock: cidr: 0.0.0.0/0 ports: - protocol: TCP port: 80 - protocol: TCP port: 443 egress: - to: - podSelector: matchLabels: app: api ports: - protocol: TCP port: 8080 - to: - namespaceSelector: matchLabels: name: kube-system podSelector: matchLabels: k8s-app: kube-dns ports: - protocol: UDP port: 535.3 敏感服务隔离apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: sensitive-service-policy spec: podSelector: matchLabels: app: sensitive policyTypes: - Ingress - Egress ingress: - from: - podSelector: matchLabels: role: admin namespaceSelector: matchLabels: name: admin egress: []六、网络策略最佳实践6.1 策略层次结构┌─────────────────────────────────────────────────────────────┐ │ 网络策略层次结构 │ ├─────────────────────────────────────────────────────────────┤ │ │ │ 1. 命名空间级别策略默认拒绝 │ │ │ │ │ ▼ │ │ 2. 应用级别策略允许特定服务通信 │ │ │ │ │ ▼ │ │ 3. Pod 级别策略细粒度控制 │ │ │ └─────────────────────────────────────────────────────────────┘6.2 策略配置清单为每个命名空间配置默认拒绝策略明确允许 DNS 流量限制数据库访问仅允许特定服务分离前端和后端网络策略限制敏感服务的网络范围6.3 性能考虑因素影响优化建议策略数量过多策略影响性能合并相似策略规则复杂度复杂规则增加延迟保持规则简洁网络插件不同插件性能差异选择高性能插件七、网络策略调试与验证7.1 检查网络策略# 查看所有网络策略 kubectl get networkpolicies # 查看特定策略详情 kubectl describe networkpolicy my-policy # 查看策略适用的 Pod kubectl get pods -l appmy-app7.2 测试网络连通性# 在 Pod 内测试连通性 kubectl exec -it my-pod -- ping target-pod-ip # 使用 nc 测试端口 kubectl exec -it my-pod -- nc -zv target-pod-ip 8080 # 使用 curl 测试 HTTP kubectl exec -it my-pod -- curl http://target-service7.3 常见问题排查问题原因解决方案Pod 无法访问外部Egress 策略限制添加 Egress 规则Pod 无法通信缺少 Ingress 规则添加 Ingress 规则DNS 解析失败未允许 DNS 流量添加 DNS Egress 规则策略不生效网络插件不支持确认使用支持的 CNI八、网络策略与服务网格对比特性Network PolicyService Mesh粒度Pod/命名空间级别服务/方法级别加密不支持mTLS流量控制简单允许/拒绝复杂路由规则可观测性有限丰富性能开销低中等九、总结网络策略是 Kubernetes 安全的重要组成部分Ingress 控制限制进入 Pod 的流量Egress 控制限制 Pod 发出的流量选择器支持 Pod、Namespace、IP 块选择默认策略建议配置默认拒绝分层策略从命名空间到 Pod 的多层次控制通过合理配置网络策略可以显著提高集群的安全性防止横向移动攻击。下一步行动审查现有网络策略配置配置默认拒绝策略为关键服务配置隔离策略测试策略有效性定期审计网络策略
Kubernetes网络策略完全指南
发布时间:2026/5/15 7:37:31
Kubernetes网络策略完全指南引言在 Kubernetes 中网络策略Network Policy是实现微服务间网络隔离的关键机制。通过网络策略可以控制 Pod 之间以及 Pod 与外部的网络通信。本文将深入探讨 Kubernetes 网络策略的配置和最佳实践。一、网络策略概述1.1 网络策略作用┌─────────────────────────────────────────────────────────────┐ │ 网络策略作用示意 │ ├─────────────────────────────────────────────────────────────┤ │ │ │ ┌──────────┐ 允许 ┌──────────┐ 禁止 ┌──────────┐│ │ │ Pod A │──────────│ Pod B │───────────×│ Pod C ││ │ └──────────┘ └──────────┘ └──────────┘│ │ │ │ │ │ × × │ │ │ │ │ │ ┌──────────┐ ┌──────────┐ │ │ │ Pod D │ │ Pod E │ │ │ └──────────┘ └──────────┘ │ │ │ └─────────────────────────────────────────────────────────────┘1.2 网络策略类型类型描述作用范围Ingress入站流量控制控制进入 Pod 的流量Egress出站流量控制控制 Pod 发出的流量Ingress Egress双向流量控制同时控制入站和出站二、网络策略基础配置2.1 基础 Ingress 策略apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: deny-all-ingress spec: podSelector: matchLabels: app: my-app policyTypes: - Ingress ingress: - from: - podSelector: matchLabels: role: frontend ports: - protocol: TCP port: 802.2 基础 Egress 策略apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: allow-dns-egress spec: podSelector: matchLabels: app: my-app policyTypes: - Egress egress: - to: - namespaceSelector: matchLabels: name: kube-system podSelector: matchLabels: k8s-app: kube-dns ports: - protocol: UDP port: 532.3 双向策略apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: full-network-policy spec: podSelector: matchLabels: app: api policyTypes: - Ingress - Egress ingress: - from: - podSelector: matchLabels: app: frontend ports: - protocol: TCP port: 8080 egress: - to: - podSelector: matchLabels: app: database ports: - protocol: TCP port: 5432三、网络策略选择器3.1 Pod SelectorapiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: pod-selector-policy spec: podSelector: matchLabels: app: backend ingress: - from: - podSelector: matchLabels: app: frontend3.2 Namespace SelectorapiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: namespace-selector-policy spec: podSelector: matchLabels: app: sensitive ingress: - from: - namespaceSelector: matchLabels: environment: production3.3 IP Block 选择器apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: ip-block-policy spec: podSelector: matchLabels: app: api ingress: - from: - ipBlock: cidr: 192.168.0.0/24 except: - 192.168.0.100/323.4 组合选择器apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: combined-selector-policy spec: podSelector: matchLabels: app: database ingress: - from: - podSelector: matchLabels: role: api namespaceSelector: matchLabels: environment: production四、网络策略高级配置4.1 多端口配置apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: multi-port-policy spec: podSelector: matchLabels: app: web ingress: - from: - ipBlock: cidr: 0.0.0.0/0 ports: - protocol: TCP port: 80 - protocol: TCP port: 4434.2 多规则配置apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: multi-rule-policy spec: podSelector: matchLabels: app: api ingress: - from: - podSelector: matchLabels: app: frontend ports: - protocol: TCP port: 8080 - from: - ipBlock: cidr: 10.0.0.0/8 ports: - protocol: TCP port: 84434.3 默认拒绝策略apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: default-deny-all spec: podSelector: {} policyTypes: - Ingress - Egress五、网络策略场景实践5.1 数据库隔离策略apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: database-isolation spec: podSelector: matchLabels: app: postgres policyTypes: - Ingress ingress: - from: - podSelector: matchLabels: app: api - podSelector: matchLabels: app: worker ports: - protocol: TCP port: 54325.2 前端服务策略apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: frontend-policy spec: podSelector: matchLabels: app: frontend policyTypes: - Ingress - Egress ingress: - from: - ipBlock: cidr: 0.0.0.0/0 ports: - protocol: TCP port: 80 - protocol: TCP port: 443 egress: - to: - podSelector: matchLabels: app: api ports: - protocol: TCP port: 8080 - to: - namespaceSelector: matchLabels: name: kube-system podSelector: matchLabels: k8s-app: kube-dns ports: - protocol: UDP port: 535.3 敏感服务隔离apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: sensitive-service-policy spec: podSelector: matchLabels: app: sensitive policyTypes: - Ingress - Egress ingress: - from: - podSelector: matchLabels: role: admin namespaceSelector: matchLabels: name: admin egress: []六、网络策略最佳实践6.1 策略层次结构┌─────────────────────────────────────────────────────────────┐ │ 网络策略层次结构 │ ├─────────────────────────────────────────────────────────────┤ │ │ │ 1. 命名空间级别策略默认拒绝 │ │ │ │ │ ▼ │ │ 2. 应用级别策略允许特定服务通信 │ │ │ │ │ ▼ │ │ 3. Pod 级别策略细粒度控制 │ │ │ └─────────────────────────────────────────────────────────────┘6.2 策略配置清单为每个命名空间配置默认拒绝策略明确允许 DNS 流量限制数据库访问仅允许特定服务分离前端和后端网络策略限制敏感服务的网络范围6.3 性能考虑因素影响优化建议策略数量过多策略影响性能合并相似策略规则复杂度复杂规则增加延迟保持规则简洁网络插件不同插件性能差异选择高性能插件七、网络策略调试与验证7.1 检查网络策略# 查看所有网络策略 kubectl get networkpolicies # 查看特定策略详情 kubectl describe networkpolicy my-policy # 查看策略适用的 Pod kubectl get pods -l appmy-app7.2 测试网络连通性# 在 Pod 内测试连通性 kubectl exec -it my-pod -- ping target-pod-ip # 使用 nc 测试端口 kubectl exec -it my-pod -- nc -zv target-pod-ip 8080 # 使用 curl 测试 HTTP kubectl exec -it my-pod -- curl http://target-service7.3 常见问题排查问题原因解决方案Pod 无法访问外部Egress 策略限制添加 Egress 规则Pod 无法通信缺少 Ingress 规则添加 Ingress 规则DNS 解析失败未允许 DNS 流量添加 DNS Egress 规则策略不生效网络插件不支持确认使用支持的 CNI八、网络策略与服务网格对比特性Network PolicyService Mesh粒度Pod/命名空间级别服务/方法级别加密不支持mTLS流量控制简单允许/拒绝复杂路由规则可观测性有限丰富性能开销低中等九、总结网络策略是 Kubernetes 安全的重要组成部分Ingress 控制限制进入 Pod 的流量Egress 控制限制 Pod 发出的流量选择器支持 Pod、Namespace、IP 块选择默认策略建议配置默认拒绝分层策略从命名空间到 Pod 的多层次控制通过合理配置网络策略可以显著提高集群的安全性防止横向移动攻击。下一步行动审查现有网络策略配置配置默认拒绝策略为关键服务配置隔离策略测试策略有效性定期审计网络策略
相关文章
Obsidian OCR 终极指南:3分钟解锁图片PDF文字搜索的完整方案
Obsidian OCR 终极指南:3分钟解锁图片PDF文字搜索的完整方案 【免费下载链接】obsidian-ocr Obsidian OCR allows you to search for text in your images and pdfs 项目地址: https://gitcode.com/gh_mirrors/ob/obsidian-ocr 你是否曾为Obsidian中大量图片…
基于 HarmonyOS 6.0 的儿童学习页面开发实战:从组件化布局到跨端 UI 构建
基于 HarmonyOS 6.0 的儿童学习页面开发实战:从组件化布局到跨端 UI 构建 前言 随着 HarmonyOS 6.0 的持续演进,鸿蒙生态已经不仅仅局限于传统移动端开发,而是逐步形成了一套真正意义上的“全场景分布式开发体系”。相比过去 Android 与 iOS …
KubeRocketAI:用AI-as-Code框架实现智能体工程化与团队协作
1. 项目概述:当AI智能体成为团队资产,如何像管理代码一样管理它?如果你已经成功调教出几个得心应手的AI智能体,让它们能理解你的项目架构、编码规范,甚至能帮你写出高质量的代码,那么恭喜你,你已…
Vivado工程实战:在ZCU102上配置MIG控制器时,SLEW属性设置成SLOW还是FAST?
Vivado工程实战:ZCU102平台MIG控制器SLEW属性深度解析 在Xilinx ZCU102开发板上进行DDR4接口设计时,MIG控制器的配置往往成为项目成败的关键。许多工程师能够顺利完成基础配置,却在面对诸如SLEW属性这类"细微"参数时陷入选择困境。…
Godot游戏开发:模块化系统集成与事件驱动架构实战
1. 项目概述与核心价值如果你正在用Godot引擎做游戏,尤其是那种玩法稍微复杂一点的,比如RPG、策略游戏或者带点模拟经营元素的,那你肯定遇到过这样的问题:每次开新项目,都得从零开始搭一套基础系统。角色状态管理、物品…
Agent监控管理工具agenttop:实现自动化任务的可观测性与可控性
1. 项目概述与核心价值最近在开源社区里,我注意到一个名为vicarious11/agenttop的项目开始受到一些开发者的关注。乍一看这个标题,你可能会和我最初的反应一样:这又是一个“Agent”相关的工具,现在这类项目多如牛毛。但当我花时间…
Aviator表达式引擎:从编译优化到规则引擎实战
1. Aviator表达式引擎初探 第一次接触Aviator是在一个电商风控项目中,当时系统需要处理大量实时交易规则判断。传统的if-else代码已经膨胀到难以维护的程度,每次业务规则变更都需要重新发布。这时候技术负责人推荐了Aviator,一个基于Java的高…
CircuitPython嵌入式开发实战:从环境搭建到内存优化与无线通信
1. 项目概述:CircuitPython入门与实战解惑如果你刚开始接触微控制器编程,或者从Arduino转向更“友好”的Python环境,那么CircuitPython这个名字你一定不陌生。它本质上是一个为微控制器(比如我们常见的Adafruit Feather、Raspberr…
RT-Thread Studio里找不到CAN驱动文件?手把手教你从零移植STM32F4的drv_can.c
RT-Thread Studio中STM32F4的CAN驱动移植实战指南 当你在RT-Thread Studio中准备开发CAN总线应用时,可能会遇到一个令人困惑的问题:在项目的drivers目录下找不到关键的drv_can.c和drv_can.h文件。这种情况在STM32F4系列开发中尤为常见。本文将带你一步步…
【2026】新高考英语大纲词汇表3500个电子版PDF(含正序版、乱序版和默写版)
高中英语大纲词汇表(2026年版)内容说明 词汇收录标准 严格遵循高中英语教学大纲要求,精选3500个核心词汇,全面覆盖高中阶段英语学习的基础词汇与进阶词汇。 版本分类及功能 版本类型编排特点主要功能正序版按字母顺序排列系统…
【最新v2.7.1 版本】零代码无命令!OpenClaw 零基础快速部署保姆级实战教程
OpenClaw(小龙虾)Windows 一键部署保姆级教程 | 10 分钟搭建专属数字员工 前言 2026 年开源圈热门 AI 智能体 OpenClaw(昵称小龙虾),GitHub 星标突破 28 万,凭借本地运行 零代码操作 智能自动执行收获大…
别再只用HashMap了!用Java BitSet和布隆过滤器处理亿级数据去重,内存省了90%
亿级数据去重的终极武器:Java BitSet与布隆过滤器实战手册 当你的JVM内存被一个简单的用户ID去重任务撑爆时,当你的日志分析系统因为HashSet的过度内存消耗而崩溃时,是时候重新审视那些被我们忽视的空间压缩神器了。本文将带你深入两种能够将…
贾子理论与AI时代文明竞争:从暴力计算到本质贯通的范式重构
贾子理论与AI时代文明竞争:从暴力计算到本质贯通的范式重构摘要本文基于贾子理论的文明竞争视角,揭示中美AI战略差异的本质并非技术参数较量,而是“暴力计算”与“本质贯通”两种文明范式的根本对立。美国依赖算力堆叠与资本逻辑追求技术霸权…
2026年AI大模型API中转平台排名揭晓,诗云API(ShiyunApi)脱颖而出成省心之选
在AI开发领域,如何接入模型厂商的官方API是一个绕不开的现实问题。对于海外开发者来说,注册、绑卡、调用,三步即可轻松搞定。然而,国内开发者却面临着跨境网络波动、外币支付门槛、发票合规需求以及多厂商Key碎片化管理等诸多“非…
基于飞书与OpenAI构建企业级AI助手:架构、部署与深度优化指南
1. 项目概述:当飞书遇上AI,一个企业级智能助手的诞生 最近在折腾一个挺有意思的项目,叫“ConnectAI-E/feishu-openai”。简单来说,它就是一个桥梁,把飞书这个强大的企业协作平台,和以ChatGPT为代表的OpenA…
MPC-BE:基于DirectShow架构的专业级开源媒体播放解决方案
MPC-BE:基于DirectShow架构的专业级开源媒体播放解决方案 【免费下载链接】MPC-BE MPC-BE – универсальный проигрыватель аудио и видеофайлов для операционной системы Windows. 项目地址:…
如何快速计算3D模型体积和重量:STL-Volume-Model-Calculator终极指南
如何快速计算3D模型体积和重量:STL-Volume-Model-Calculator终极指南 【免费下载链接】STL-Volume-Model-Calculator STL Volume Model Calculator Python 项目地址: https://gitcode.com/gh_mirrors/st/STL-Volume-Model-Calculator 你是否曾经为3D打印项目…
通过Taotoken CLI工具一键配置团队开发环境与模型密钥
通过Taotoken CLI工具一键配置团队开发环境与模型密钥 1. CLI工具安装与基本使用 Taotoken提供的CLI工具可通过npm全局安装或直接使用npx运行。对于需要频繁使用CLI的团队,推荐全局安装: npm install -g taotoken/taotoken对于临时使用或项目级配置&a…