k8s中的NetworkPolicy

K8s NetworkPolicy详解

最新推荐文章于 2025-10-15 14:34:24 发布

原创

最新推荐文章于 2025-10-15 14:34:24 发布 · 1.3k 阅读

21 ·

CC 4.0 BY-SA版权

文章标签：

#kubernetes #容器 #云原生

在 Kubernetes (k8s) 中，NetworkPolicy 是一种用于控制 Pod 之间网络流量的资源对象，它基于 Pod 标签（Labels）和命名空间（namespace）来定义网络访问规则，实现了对 Pod 进出流量的精细化控制。

核心作用

隔离网络流量：默认情况下，k8s 集群中所有 Pod 之间可以自由通信，NetworkPolicy 可限制这种通信，只允许符合规则的流量通过。
定义访问策略：通过规则指定 “哪些 Pod 可以被谁访问” 或 “哪些 Pod 可以访问谁”。
增强安全性：遵循最小权限原则，只开放必要的网络访问，减少攻击面。

工作原理

NetworkPolicy 依赖 网络插件（CNI） 实现（如 Calico、Cilium、Weave Net 等），不同插件对策略的支持可能存在差异。其核心逻辑是：

基于 Pod 标签和命名空间筛选目标 Pod（策略作用的对象）。
对目标 Pod 的入站（Ingress）和出站（Egress）流量定义允许 / 拒绝规则。
规则匹配的维度包括：源 / 目标 Pod 标签、命名空间标签、IP 地址段、端口等。

关键概念

Pod 选择器（podSelector）用于指定策略作用于哪些 Pod（通过标签匹配）。若为空，则匹配命名空间内所有 Pod。
命名空间选择器（namespaceSelector）用于匹配特定命名空间（通过标签），常与 podSelector 结合使用，限定跨命名空间的流量。
入站规则（Ingress）控制流入目标 Pod 的流量，可定

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

火星MARK

关注关注

24
点赞
踩
21

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

Kubernetes（k8s）的Network Policies解析

专注于数据库技术分享，包含但不限于Oracle，MySQL，PostgreSQL，ElasticSearch及国产数据库等

05-10

770

Kubernetes（k8s）的是一种资源对象，用于定义Pod之间的网络通信规则，以此来控制和隔离集群内部的网络流量。这为Kubernetes集群提供了更细粒度的网络安全控制能力。

k8s学习-网络策略NetworkPolicy（概念、模版、创建、删除等）

关注网络安全、云原生安全

09-11

3207

3.（Egress 规则）允许 “default” 命名空间中任何带有标签 “role=db” 的 Pod 到 CIDR 10.0.0.0/24 下 5978 TCP 端口的连接。k8s的命名空间是没有强制隔离性的，访问service时加上.namespace的名称即可。：此选择器将选择特定的名字空间，应将所有 Pod 用作其入站流量来源或出站流量目的地。k8s的Pod是没有隔离行的，任意命名空间下的Pod可以访问任意命名空间下的Pod。的 to/from 条目选择特定名字空间中的特定 Pod。

参与评论您还未登录，请先登录后发表或查看评论

【Kubernetes】K8s 集群 NetworkPolicy 策略

最新发布

mm1234556的博客

10-15

716

没有 Network Policy 的 Kubernetes 集群，就像没有门禁的数据中心——任何人都可以自由出入。

k8s networkpolicy

小诸葛的博客

02-21

1119

通俗理解Network Policy：谁能访问我(Ingress)和我能访问谁(Egress) 隔离指定分区的指定pod，设置这些pod的访问规则： Ingress：哪些分区(namespaceSelector)的哪些pod(podSelector)可以访问我的哪些端口(ports) Egress：我可以访问哪些分区(namespaceSelector)的哪些pod(podSelector)的哪些端口(ports) ...

k8s-配置网络策略 NetworkPolicy

u010674101的专栏

10-14

1343

提供了一种方式来控制 Kubernetes 集群中 Pod 之间的网络流量，类似于防火墙规则。通过选择合适的ingress和egress规则，可以实现精细的流量控制。需要网络插件的支持才能生效，并且默认行为是一旦有 NetworkPolicy，则会阻止未允许的流量。

K8S NetworkPolicy网络策略介绍与实战

小楼一夜听春雨，深巷明朝卖杏花

06-24

1772

网络策略介绍默认情况下，Kubernetes 集群网络没任何网络限制，Pod 可以与任何其他 Pod 通信，在某些场景下就需要进行网络控制，减少网络攻击面，提高安全性，这就会用到网络策略。网络策略（Network Policy）：是一个K8s资源，用于限制Pod出入流量，提供Pod级别和 Namespace级别网络访问控制。网络策略的应用场景： • 应用程序间的访问控制，例如项目A不能访问项目B的Pod • 开发环境命名空间不能访问测试环境命名空间Pod • 当P

k8s中Network Policy的设计原理和实现方式？

运维老生常谈

02-09

1227

Network Policy 的设计是通用的，不依赖于特定的网络实现。实际的策略执行依赖于底层的网络插件（如 Calico、Cilium、Weave 等），这些插件负责将高层的策略转换为具体的网络规则。负责网络的插件（如 Calico）通过监听 API Server 的事件流（例如通过 Kubernetes Informer 机制），获取新的或更新的 Network Policy 配置。网络插件解析 Network Policy 中的规则，并将其转换为具体的底层网络实现中的规则。

K8S的NetworkPolicy使用教程

平庸

08-05

953

Kubernetes NetworkPolicy概述 NetworkPolicy是Kubernetes中控制Pod间网络流量的资源对象，类似于集群内部的防火墙规则。需要注意的是：需要支持NetworkPolicy的CNI插件（如Calico、Cilium等）是命名空间级别的资源，无法跨命名空间使用默认行为：未被匹配的Pod允许所有流量被匹配的Pod仅允许规则明确的流量规则逻辑类似防火墙，未配置则无限制，一旦配置则严格匹配 NetworkPolicy通过标签选择器(PodSelector/Name

K8S - NetworkPolicy的使用

u013227473的博客

08-22

1090

policyTypes 字段表示给定的策略是应用于进入所选 Pod 的入站流量还是来自所选 Pod 的出站流量，或两者兼有。apiVersion : 必须字段,不同版本可能group和version有所差别,通过explain命令可以查看当前k8s版本支持的apiVersion,如下图所示,我的k8s版本是1.28,所以他的networkpolicy 接口的apiVersion应该是 networking.k8s.io/v1。空的 podSelector 选择名字空间下的所有 Pod。

K8S学习指南(29)-k8s网络对象NetworkPolicy

俞兆鹏的博客

12-20

3684

NetworkPolicy是Kubernetes中用于定义Pod之间网络通信规则的资源对象。通过NetworkPolicy，开发者可以控制哪些Pod可以与另外哪些Pod通信，以及使用何种方式进行通信。这种细粒度的网络控制有助于提高集群的安全性，防止未经授权的访问和通信。

k8s 之NetworkPolicy介绍使用

魏志标的博客

03-21

1580

k8s之networkpolicy 应用

k8s NetworkPolicy配置

weixin_40548182的博客

06-10

392

说明：该规则允许labels为app: nginx-test2的pod访问集群内的其他pod。

一文吃透K8s 网络策略 NetworkPolicy ！别再裸奔了！

2505_90729871的博客

05-16

798

维度建议实践启用网络插件使用支持 NetworkPolicy 的 CNI 插件最小权限原则只允许必要的通信，默认拒绝其他访问Ingress + Egress 配合使用控制内外流量，提升安全性多策略组合一组 Pod 可匹配多个策略，注意覆盖顺序版本控制与 GitOps 管理推荐将 NetworkPolicy 纳入版本控制。

k8s network policy配置，看这篇就够了

weixin_36086263的博客

06-10

6836

这是一篇关于k8s的网络策略配置说明用户在使用k8s中，有对网络策略的配置需求，有时候希望不同的namespace之间不能互相访问，但是我们知道k8s中所有的pod之间都是可以互相访问的，这个时候就需要网络策略来帮助我们实现这个诉求，网络策略依赖于cni网络插件，不是所有的网络插件都支持网络策略，calico支持网络策略，而flannel不支持。接下来我以一张图来说明k8s的networkpolicy资源的配置整个图总接下来如下：入口规则：仅允许 1.来自（from）命名空间（spec

K8s网络策略

qq_42515722的博客

02-13

693

（1）一旦配置了ns级别的网络策略，默认就会禁止在k8s中跨ns访问目标pod。（2）只要是和网络策略不匹配的pod，就算是同ns下，也无法访问目标pod。（3）也不允许通过nodeport访问目标pod。（4）不影响其他ns的pod与非明确禁止的pod之间的访问，即linux的pod访问python的其它pod依然可以，反正只要没和策略关联上的pod，都不受影响。

k8s-使用Network Policies实现网络隔离

dsgdauigfs的博客

08-29

1636

本字段可以看作是一个开关，如果其中包含Ingress，则Ingress部分定义的规则生效，如果是Egress则Egress部分定义的规则生效，如果都包含则全部生效。实际应用中某些命名空间中的pod可能和其他命名空间中的pod有调用关系，还可能用到一些系统命名空间中的服务（如DNS服务），所以不能将某个命名空间完全和其他所有命名空间隔离，只需要将确定没有业务调用的命名空间隔离。策略描述：更新第5步sub2中创建的策略，使sub2中的pod除了不能和sub3中的pod通信外，和其他所有地址都可通信。

K8s 中如何配置网络策略（NetworkPolicy）？

wamp0001的博客

07-21

1095

初始化 Kubernetes 集群时，需指定 Pod 网络 CIDR，并确保 CNI 插件已正确安装。是实现 Pod 之间网络隔离和访问控制的关键手段。以下是详细的配置步骤和示例，帮助你快速上手。同一命名空间下的多个 NetworkPolicy 会叠加生效，最终效果是所有策略的交集。如果需要更复杂的场景（如动态策略更新、可视化监控），可结合。在 Kubernetes 中配置。以下是一个简单的示例，允许。

k8s--NetworkPolicy资源对象

weixin_60047971的博客

08-21

856

在Kubernetes中，NetworkPolicy是一项关键功能，它允许开发者定义和控制Pod之间的网络通信。本文将深入研究Kubernetes中的NetworkPolicy，详细介绍其原理、用途，并通过实际示例演示如何使用NetworkPolicy来确保集群中的网络安全。NetworkPolicy是Kubernetes中用于定义Pod之间网络通信规则的资源对象。通过NetworkPolicy，开发者可以控制哪些Pod可以与另外哪些Pod通信，以及使用何种方式进行通信。