当前位置：首页 > article >正文

Kubernetes 网络策略（NetworkPolicy）完全指南：声明式 Pod 通信管控

article 2026/4/25 22:23:45

Kubernetes 网络策略NetworkPolicy完全指南声明式 Pod 通信管控1. Before you begin前置条件1.1 核心要求Kubernetes 集群需支持 NetworkPolicy APIKubernetes 1.7 版本默认支持。部署支持网络策略的网络插件以下按字母排序无推荐优先级CalicoRomanaWeave 网络本文示例适用于所有上述网络插件无需修改配置即可直接使用。2. 创建 Nginx Deployment 并暴露服务作为演示目标先创建被访问的 Nginx 服务后续通过网络策略限制其访问权限2.1 部署 Nginx 应用# 创建 Deployment2 个副本 $ kubectl run nginx --imagenginx --replicas2 # 暴露 ServiceClusterIP 类型端口 80 $ kubectl expose deployment nginx --port802.2 验证资源状态$ kubectl get svc,pod # 预期输出确认 Nginx Pod 运行正常、Service 已创建 NAME CLUSTER-IP EXTERNAL-IP PORT(S) AGE svc/kubernetes 10.100.0.1 443/TCP 46m svc/nginx 10.100.0.16 0/TCP 33s NAME READY STATUS RESTARTS AGE po/nginx-701339712-e0qfq 1/1 Running 0 35s po/nginx-701339712-o00ef 1/1 Running 0 35s3. 测试服务能够被其它 Pod 访问默认情况下Kubernetes 集群内 Pod 可自由通信。验证无网络策略时其他 Pod 能否访问 Nginx 服务# 启动临时 busybox Pod执行后进入交互终端 $ kubectl run busybox --rm -ti --imagebusybox /bin/sh # 在交互终端中测试访问 Nginx Service--spider 仅检查连通性不下载内容 wget --spider --timeout1 nginx # 成功输出Connecting to nginx (10.100.0.16:80)无超时结论无网络策略时任意 Pod 可访问 Nginx 服务。4. 限制访问 Nginx 服务创建 NetworkPolicy通过 NetworkPolicy 定义规则仅允许带有access: true标签的 Pod 访问 Nginx 服务。4.1 编写 NetworkPolicy 配置文件创建nginx-policy.yaml内容如下kind: NetworkPolicy apiVersion: networking.k8s.io/v1 # 核心 API 版本必填 metadata: name: access-nginx # 网络策略名称 spec: podSelector: # 目标 Pod 选择器指定保护哪些 Pod matchLabels: run: nginx # 匹配 Nginx Pod 的标签与 Deployment 一致 ingress: # 入站规则允许哪些流量进入目标 Pod - from: - podSelector: # 来源 Pod 选择器仅允许带以下标签的 Pod 访问 matchLabels: access: true # 允许标签accesstrue4.2 核心字段说明字段作用podSelector定义策略作用的目标 Pod通过标签匹配本文中为 Nginx Podingress.from.podSelector定义允许访问的来源 Pod通过标签匹配本文中为带access: true的 PodapiVersion必须指定为networking.k8s.io/v1标准稳定版 API5. 为服务指定策略应用 NetworkPolicy执行以下命令创建网络策略$ kubectl create -f nginx-policy.yaml # 成功输出networkpolicy access-nginx created # 验证策略是否生效 $ kubectl get networkpolicy NAME POD-SELECTOR AGE access-nginx runnginx 10s6. 当访问标签没有定义时测试访问服务验证无access: true标签的 Pod 是否被拒绝访问# 启动无标签的 busybox Pod交互模式 $ kubectl run busybox --rm -ti --imagebusybox /bin/sh # 测试访问 Nginx 服务 wget --spider --timeout1 nginx # 失败输出wget: download timed out请求超时策略生效结论无指定标签的 Pod 被网络策略拦截无法访问 Nginx 服务。7. 定义访问标签后再次测试验证带有access: true标签的 Pod 是否允许访问# 启动带标签的 busybox Pod--labels 指定标签 $ kubectl run busybox --rm -ti --labelsaccesstrue --imagebusybox /bin/sh # 测试访问 Nginx 服务 wget --spider --timeout1 nginx # 成功输出Connecting to nginx (10.100.0.16:80)无超时访问允许结论符合标签条件的 Pod 可正常访问 Nginx 服务网络策略按预期生效。扩展NetworkPolicy 核心能力补充1. 更多规则配置示例允许特定命名空间的 Pod 访问ingress: - from: - namespaceSelector: # 匹配命名空间标签 matchLabels: environment: production允许特定 IP 段访问ingress: - from: - ipBlock: cidr: 192.168.0.0/16 # 允许的 IP 段 except: - 192.168.1.0/24 # 排除的 IP 段限制特定端口访问ingress: - ports: - protocol: TCP port: 80 # 仅允许 80 端口访问拒绝其他端口 from: - podSelector: matchLabels: access: true2. 关键注意事项默认行为无网络策略时Pod 可接收所有入站流量创建网络策略后仅允许策略中明确允许的流量。出站规则除了ingress入站还可通过egress定义 Pod 的出站流量规则限制 Pod 访问外部资源。标签匹配podSelector和namespaceSelector支持复杂标签匹配如matchExpressions满足多条件筛选需求。总结Kubernetes NetworkPolicy 提供了声明式的 Pod 通信管控能力核心价值在于实现 Pod 间的访问隔离提升集群安全性如限制数据库 Pod 仅允许应用 Pod 访问。按标签、命名空间、IP 段等维度灵活定义规则适配复杂业务场景。与网络插件解耦无需修改应用代码仅通过 YAML 配置即可生效。建议在生产环境中为核心服务如数据库、缓存、API 服务配置网络策略最小化访问权限降低安全风险。

Kubernetes 网络策略（NetworkPolicy）完全指南：声明式 Pod 通信管控

相关文章：

Kubernetes 网络策略（NetworkPolicy）完全指南：声明式 Pod 通信管控

基于RAG与本地化部署的智能文献助手Aeiva：从原理到实践

前端库作者必看：如何用@babel/plugin-transform-runtime优雅地发布你的npm包（避坑全局污染）

多智能体强化学习环境PettingZoo：从AEC/并行API到实战应用

ESP32-CAM通过TCP传图，如何解决常见的网络中断和图片乱码问题？

终极Windows更新修复指南：5分钟解决系统更新故障的完整方案

微软公司产品图谱及生态

Conda创建环境卡在‘Solving environment: failed’？别慌，试试这3种镜像源配置方法（附.condarc文件详解）

谷歌 Decoupled DiLoCo：革新分布式训练，高容错低带宽提升超大规模模型训练效率！

基于安卓的社区儿童托管预约平台毕业设计

Python系列AI系列（仅供参考-推荐）：AI Coding 进阶指南：Trae AI插件在Pycharm中的高效配置与实战技巧

暗黑破坏神2存档编辑革命：告别繁琐，拥抱网页端自由定制

抖音批量下载器：一键无水印下载，突破平台限制的终极解决方案

暗黑破坏神2存档编辑神器：网页版d2s-editor完全指南

算法打卡第12天｜多数元素

AI生图提示词及AI转模工具试探比较

2026 年最新：Anthropic 注册政策变化及应对策略

三月七小助手：崩坏星穹铁道终极自动化游戏助手完整指南

DamaiHelper：如何用智能自动化告别演唱会抢票焦虑？

【Flutter for OpenHarmony第三方库】Flutter for OpenHarmony 音频播放功能适配与实现指南

AiPy帮我工作后，我开始躺平摸鱼

别再让C++控制台输出乱糟糟了！用＜iomanip＞库的setw和setfill轻松搞定表格对齐

Yoga Pro 14s装完Win11+Ubuntu 22.04，开机直接进Windows？手把手教你进Grub救援模式找回启动菜单

UnityFigmaBridge终极指南：从设计到开发的完整高效协作方案

ComfyUI IPAdapter Plus完整指南：轻松实现图像引导AI生成

Windows/Mac双平台实测：用Git Bash和Idea内置终端搞定GitLab SSH Key配置全流程

解耦管理化技术中的解耦计划解耦实施解耦验证

Ubuntu系统上部署OpenClaw完整指南

auditd服务

Cadence allegro 全家桶以及相关文件说明