Kubernetes NetworkPolicy

最新推荐文章于 2025-08-05 11:33:55 发布

原创最新推荐文章于 2025-08-05 11:33:55 发布 · 1.2k 阅读

12 ·

CC 4.0 BY-SA版权

文章标签：

#kubernetes #容器 #云原生

云原生专栏收录该内容

32 篇文章

订阅专栏

NetworkPolicy 是 Kubernetes 提供的一种资源类型，用于定义网络访问控制策略。它允许用户控制 Pod 之间以及 Pod 与外部网络实体（如外部服务）的通信。通过使用 NetworkPolicy，可以实现更安全的网络配置，确保只有授权的流量能够通过。

NetworkPolicy 的主要功能

流量控制：限制哪些 Pod 允许与其他 Pod 通信，或者限制外部访问 Pod，从而实现网络流量的安全管理。
增强安全性：通过定义网络策略，可以减少潜在的攻击面，确保只有必要的流量才能到达应用。
支持多租户环境：在多租户环境中，可以通过 NetworkPolicy 隔离不同租户的流量，确保数据隐私和安全性。

NetworkPolicy 的组成部分

NetworkPolicy 的 YAML 定义主要包含以下几个部分：

API 版本

apiVersion: networking.k8s.io/v1

kind

kind: NetworkPolicy

metadata

name：NetworkPolicy 的名称，通常采用具有描述性的名称。
namespace：指定该 NetworkPolicy 所在的命名空间。

spec

NetworkPolicy 的核心部分，定义了网络策略的具体内容，主要包括以下字段：

podSelector：选择受此网络策略影响的 Pod。可以使用标签选择器来指定哪些 Pod 受影响。
policyTypes：定义网络策略的类型，可以包括 Ingress 和 Egress，默认情况下未指定时为 Ingress。
ingress：定义允许的入站流量规则。
egress：定义允许的出站流量规则。
namespaceSelector（可选）：选择源或目标命名空间中的 Pod，可以结合使用以实现更加复杂的流量控制。

Ingress 和 Egress 规则

每个 NetworkPolicy 可以定义入站流量（Ingress）和出站流量（Egress）的规则：

Ingress 规则

from：用于定义允许流量进入 Pod 的来源。可以是其他 Pod 的选择器、IP 地址范围或命名空间选择器。
ports：定义允许的流量端口。

Egress 规则

to：用于定义允许流量离开 Pod 的目标。可以是其他 Pod 的选择器、IP 地址范围或命名空间选择器。
ports：定义允许的流量端口。

NetworkPolicy 示例

以下是一些示例，帮助更好地理解 NetworkPolicy 的应用。

示例 1：允许特定 Pod 之间的流量

下面的示例定义了一个 NetworkPolicy，允许命名空间 my-namespace 中，标签为 app: frontend 的 Pod 接收来自标签为 app: backend 的 Pod 的流量：

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-backend-to-frontend
  namespace: my-namespace
spec:
  podSelector:
    matchLabels:
      app: frontend
  policyTypes:
  - Ingress
  ingress:
  - from:
    - podSelector:
        matchLabels:
          app: backend

解析：
- 该策略将仅允许 app: backend 标签的 Pod 向 app: frontend 标签的 Pod 发送流量。

示例 2：拒绝所有流量

下面的示例定义了一个 NetworkPolicy，拒绝所有入站流量，只有符合特定规则的流量才被允许：

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: deny-all-ingress
  namespace: my-namespace
spec:
  podSelector: {}
  policyTypes:
  - Ingress

解析：
- 该策略不定义任何入站规则，因此默认拒绝所有入站流量。

示例 3：限制出站流量

下面的示例定义了一个 NetworkPolicy，允许命名空间 my-namespace 中的 Pod 仅与特定的数据库（假设其 IP 为 10.0.0.1）通信：

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-egress-to-database
  namespace: my-namespace
spec:
  podSelector: {}
  policyTypes:
  - Egress
  egress:
  - to:
    - ipBlock:
        cidr: 10.0.0.1/32
    ports:
    - protocol: TCP
      port: 5432

解析：
- 该策略允许 Pod 向 IP 为 10.0.0.1 的数据库发起 TCP 5432 端口的出站流量。

使用 NetworkPolicy 的最佳实践

最小权限原则

只允许必要的流量，拒绝所有不必要的流量，从而降低安全风险。

监控与审计

监控网络流量并审计 NetworkPolicy 的应用情况，以确保策略的有效性和一致性。

定期更新

随着应用和网络架构的变化，定期更新 NetworkPolicy，以适应新的需求和安全挑战。

兼容性与网络插件

NetworkPolicy 的实现依赖于所使用的网络插件，并非所有 Kubernetes 网络插件都支持 NetworkPolicy。常用的支持插件包括：

Calico：功能强大，支持复杂的网络策略和安全性设置。
Weave Net：提供简单易用的网络策略功能。
Cilium：支持基于服务的策略和负载均衡。
Flannel：有限支持，不适合复杂的 NetworkPolicy 需求。

常见场景

多租户环境

通过 NetworkPolicy 隔离不同租户的流量，确保资源之间的安全隔离，防止不同租户之间的干扰。

微服务架构

在微服务架构中，使用 NetworkPolicy 控制微服务之间的通信，确保只有必要的服务可以相互访问。

数据库访问控制

限制对数据库的访问，只允许特定的服务或 Pod 与数据库通信，增强数据安全性，防止未授权访问。

总结

Kubernetes 的 NetworkPolicy 是一个强大的工具，能够帮助用户实现细粒度的网络访问控制。通过合理配置和应用 NetworkPolicy，用户可以提高集群的安全性，控制 Pod 之间的通信，保护应用和数据。在多租户和微服务架构中，NetworkPolicy 的灵活性和可扩展性使其成为现代 Kubernetes 集群不可或缺的组成部分。