Kubernetes的NetworkPolicy通过标签选择Pod并定义入站出站规则,需配合Calico等CNI插件实现微服务隔离。默认允许所有流量,可通过podSelector和namespaceSelector应用策略,建议先设置默认拒绝再逐步放行必要通信,结合清晰标签体系和定期审查提升安全性。
Kubernetes 的 NetworkPolicy 是一种网络资源对象,用于控制 Pod 之间的通信规则。它通过定义入站(ingress)和出站(egress)流量策略,实现微服务间的网络隔离,提升集群安全性。
NetworkPolicy 基本原理
NetworkPolicy 本身不会生效,需要配合支持网络策略的 CNI 插件,如 Calico、Cilium 或 Weave Net。它基于标签(label)选择目标 Pod,并设置允许的流量规则。
默认情况下,Pod 是非隔离的:所有 Pod 可以被任意来源访问。只有当命名空间或 Pod 匹配了某个 NetworkPolicy 时,才会进入“隔离状态”。
- 策略只对匹配 podSelector 或 namespaceSelector 的 Pod 生效
- 规则是“拒绝优先”,未明确允许的流量会被阻止
- 可基于 IP、端口、协议、Pod 标签和命名空间进行细粒度控制
如何用 NetworkPolicy 隔离微服务
实际场景中,通常希望不同微服务之间默认不通,只开放必要的端口。以下是一些常见策略模式:
1. 默认拒绝所有入站流量
在命名空间级别设置默认拒绝策略:
kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
name: deny-all-ingress
namespace: default
spec:
podSelector: {}
policyTypes:
- Ingress
该策略应用于 default 命名空间中所有 Pod,禁止任何入站连接。
2. 允许特定服务访问
例如前端服务(frontend)需要调用后端 API 服务(backend),可以这样放行:
kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
name: allow-frontend-to-backend
namespace: production
spec:
podSelector:
matchLabels:
app: backend
ingress:
- from:
- podSelector:
matchLabels:
app: frontend
ports:
- protocol: TCP
port: 8080
这条规则允许带有 app: frontend 标签的 Pod 访问 app: backend 的 8080 端口。
3. 限制出口流量(Egress)
防止某个 Pod 随意对外发起请求:
egress:
- to:
- podSelector:
matchLabels:
app: database
ports:
- protocol: TCP
port: 5432
policyTypes:
- Egress
表示该 Pod 只能访问标签为 app: database 的数据库服务的 5432 端口。
最佳实践建议
- 按命名空间划分环境(如 dev、staging、prod),结合 namespaceSelector 控制跨命名空间访问
- 给每个微服务打上清晰的标签(如 app=userservice, version=v1)便于策略管理
- 先使用 default-deny 策略锁定入口,再逐步放开必要通信
- 定期审查策略,避免过度授权或规则冲突
- 生产环境务必启用支持 NetworkPolicy 的 CNI 插件
基本上就这些。只要合理设计标签体系并配置精准的出入站规则,就能有效实现微服务间的网络隔离。
