Kubernetes概念: NetworkPolicy 详解

原创 已于 2025-08-22 09:40:20 修改 · 775 阅读 · 13 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#kubernetes #容器 #云原生

于 2025-08-22 09:37:21 首次发布

目录

1. 什么是 NetworkPolicy?

2. 为什么需要 NetworkPolicy?

3. 前提条件:网络插件支持

4. NetworkPolicy 核心工作模型

5. NetworkPolicy 资源定义剖析

6. 常见场景示例

场景 1:拒绝所有入站流量(默认拒绝)

场景 2:允许来自特定 Pod 的访问

场景 3:允许访问外部网络和 DNS

场景 4:跨命名空间访问

7. 总结与最佳实践

1. 什么是 NetworkPolicy?

NetworkPolicy 是一种 Kubernetes 资源对象,它通过定义规则来控制 Pod 之间以及 Pod 与外部网络之间的网络流量(入站和出站),就像一个内置的、基于标签的防火墙。

核心思想:默认情况下,Kubernetes 集群内的所有 Pod 是可以相互通信的(“所有流量放行”)。NetworkPolicy 允许你实施 “最小权限原则” ,即只允许必要的通信,拒绝其他所有流量。

2. 为什么需要 NetworkPolicy?

想象一个典型的微服务应用:

  • 前端(frontend) Pods 需要与 后端(backend) Pods 通信。
  • 后端 Pods 需要与 数据库(database) Pods 通信。
  • 但前端不应该直接访问数据库,并且可能没有任何服务需要主动连接前端。

如果没有 NetworkPolicy,如果一个 Pod 被攻击,攻击者可以以此为跳板,在集群内“横向移动”,访问任何其他服务。NetworkPolicy 可以严格限制这种横向移动,极大地提升集群的安全性。

3. 前提条件:网络插件支持

非常重要:NetworkPolicy 本身只是一个 API 定义,它需要由 Container Network Interface (CNI) 网络插件来具体实现其规则。

  • 支持的 CNI 插件:Calico, Cilium, Weave Net, Antrea, Kube-router 等。
  • 不支持的 CNI 插件:Flannel(默认的 host-gw 后端不支持)、Bridge 等。

如果你的网络插件不支持 NetworkPolicy,那么你创建的任何策略都不会生效。请先确认你的 Kubernetes 集群使用了正确的网络插件。

4. NetworkPolicy 核心工作模型

NetworkPolicy 不是通过在 Pod 上添加注解来实现的,而是通过选择器(Selectors)来定义规则:

  • 选择一组 Pods:使用 podSelector 字段来选择此策略要应用到的目标 Pods(“防火墙要保护谁”)。
  • 定义入站规则(Ingress):规定谁可以访问这些目标 Pods,以及可以访问哪些端口。
  • 定义出站规则(Egress):规定这些目标 Pods 可以访问谁,以及可以访问哪些端口。

5. NetworkPolicy 资源定义剖析

下面是一个完整的 NetworkPolicy 示例

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: test-network-policy
  namespace: default # NetworkPolicy 是命名空间范围的资源
spec:
  # 1. 策略目标:此策略应用到哪里?
  podSelector:
    matchLabels:
      role: db # 选择所有具有标签 `role=db` 的 Pods

  # 2. 策略类型:定义此策略是管理入站、出站,还是两者都管。
  policyTypes:
  - Ingress
  - Egress

  # 3. 入站规则(白名单):谁可以访问上述 `role=db` 的 Pods?
  ingress:
  - from:
      - podSelector: # (a) 来自集群内的 Pods
          matchLabels:
            role: api
      - namespaceSelector: # (b) 来自特定命名空间的所有 Pods
          matchLabels:
            project: myproject
      - ipBlock: # (c) 来自集群外部的特定 IP 段
          cidr: 172.17.0.0/16
          except:
          - 172.17.1.0/24
    ports:
    - protocol: TCP
      port: 6379

  # 4. 出站规则(白名单):上述 `role=db` 的 Pods 可以访问谁?
  egress:
  - to:
      - podSelector:
          matchLabels:
            role: cache
    ports:
    - protocol: TCP
      port: 6379
  - to: # 允许访问外部 DNS 服务器
      - ipBlock:
          cidr: 8.8.8.8/32
    ports:
    - protocol: UDP
      port: 53

6. 常见场景示例

场景 1:拒绝所有入站流量(默认拒绝)

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: deny-all-ingress
  namespace: default
spec:
  podSelector: {} # 匹配命名空间中的所有 Pods
  policyTypes:
  - Ingress
  # 不指定任何 ingress 规则,意味着拒绝所有入站流量。

场景 2:允许来自特定 Pod 的访问

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-frontend-to-backend
  namespace: default
spec:
  podSelector:
    matchLabels:
      app: backend
  policyTypes:
  - Ingress
  ingress:
  - from:
    - podSelector:
        matchLabels:
          app: frontend
    ports:
    - protocol: TCP
      port: 8080

场景 3:允许访问外部网络和 DNS

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-dns-egress
  namespace: default
spec:
  podSelector: {}
  policyTypes:
  - Egress
  egress:
  - to:
    - namespaceSelector: {}
      podSelector:
        matchLabels:
          k8s-app: kube-dns
    ports:
    - protocol: UDP
      port: 53
    - protocol: TCP
      port: 53

场景 4:跨命名空间访问

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-cross-namespace
  namespace: backend
spec:
  podSelector:
    matchLabels:
      app: api
  ingress:
  - from:
    - namespaceSelector:
        matchLabels:
          name: frontend
      podSelector:
        matchLabels:
          app: frontend
    ports:
    - protocol: TCP
      port: 8080

给命名空间打上标签:

kubectl label namespace frontend name=frontend

7. 总结与最佳实践

  • 默认拒绝:首先为每个命名空间创建 deny-all-ingress 策略,然后再创建允许特定流量的策略。
  • 标签是关键:NetworkPolicy 严重依赖标签(podSelector 和 namespaceSelector)来工作。为 Pod 和命名空间设计清晰的标签体系。
  • 策略是叠加的:如果多个 NetworkPolicy 选择了同一个 Pod,则所有策略的规则会叠加(取并集)。
  • 从简单开始:先从保护最关键的服务(如数据库)开始,逐步扩大范围。
  • 测试策略
    kubectl describe networkpolicy <name>
kubectl run -it --rm --image=nicolaka/netshoot testpod -- /bin/bash
    然后使用 curldignc 等工具测试连通性。

NetworkPolicy 是 Kubernetes 生产环境安全加固的必备工具,能够在容器层面实现网络隔离,防止攻击蔓延,是零信任网络架构在 K8s 中的具体实践。

深入掌握Kubernetes核心:YAML配置详解与实战
探索技术与实践的旅程,分享编程经验与工具使用心得,助力开发者提升技能。
08-27 1553
本文深入探讨了 Kubernetes 的多种资源类型,包括 Service、Pod、ServiceAccoun、HPA、NetworkPolicy、PDB 等。通过实际案例和详细的 YAML 文件解释,展示了这些资源在 Kubernetes 集群管理中的应用与配置。特别地,PodDisruptionBudget (PDB) 是保障应用高可用性的关键工具,本文通过具体示例,说明了如何设置 PDB 以在维护和升级过程中维持服务的稳定性。文章旨在为 Kubernetes 用户提供实践指导和配置参考。
云原生Kubernetes:21、Network-Policy详解
LQ的博客
09-08 738
Network-Policy详解
Kubernetes 集群概念详解
ttyy1112的专栏
04-30 1062
Kubernetes 集群是由多个计算节点组成的容器编排系统,用于自动化部署、扩展和管理容器化应用。以下是 Kubernetes 集群的核心概念和架构解析: 2. 核心组件分工 组件类型 包含组件 主要职责 控制平面 kube-apiserver, etcd, kube-scheduler, kube-controller-manager 集群决策和调度 工作节点 kubelet, kube-proxy, 容器运行时 运行工作负载 插件 DNS, CNI, Ingress, 监控等
掌握Kubernetes Network Policy,构建安全的容器网络
十年运维开发经验的王义杰在此分享自己的知识和经验
03-07 966
Network Policy 是 Kubernetes 中实现网络隔离和访问控制的重要工具。通过灵活运用 Network Policy,我们可以构建出满足各种安全需求的容器网络,保障应用的安全性。
Kubernetes 入门指南:概念与基础
加入“Super Entity”,与全能开发团队共探AI智能体与数字人项目,开启前沿技术之旅。
05-15 642
K8s 作为容器编排利器,凭借其强大功能简化容器管理。掌握基础概念与架构是深入学习的前提,后续将逐步深入探索 K8s 各组件及应用场景。本次入门指南详细介绍了 K8s 的诞生背景,即容器技术发展带来的管理挑战促使谷歌基于 Borg 经验开源了 K8s。核心优势方面,自动化部署与扩展能应对业务负载波动,自我修复能力保障应用稳定,跨基础设施运行提供灵活部署选择。关键术语 Pod、Service、Deployment 的功能和作用是理解 K8s 资源管理的基础。
Kubernetes 网络策略 (NetworkPolicy) 深度剖析:从原理到实战
weixin_42587823的博客
07-21 994
Kubernetes 网络策略(NetworkPolicy)深度解析与实践指南 本文深入探讨Kubernetes网络策略的核心原理与实战应用。默认情况下,Kubernetes集群采用完全开放的扁平网络模式,存在安全隐患。NetworkPolicy通过标签选择器机制实现网络微隔离,其核心特点是"声明式"配置,依赖于支持该功能的CNI插件(如Calico、Cilium)具体实现。 文章详细解析了NetworkPolicy的工作机制,包括默认拒绝原则、标签选择器匹配规则等关键概念,并通过三个典
Terraform AWS Kubernetes模块:自动化AWS Kubernetes集群部署
weixin_42594427的博客
09-01 1282
本文还有配套的精品资源,点击获取 简介:本模块为“terraform-aws-kubernetes”,是一个为AWS环境设计的Terraform模块,用于自动化创建和管理Kubernetes集群。模块利用Terraform的声明性语言HCL来定义和管理云资源,如EC2实例和存储。它涵盖了从安全组规则的设置到Kubernetes控制平面组件的安装与配置。通过使用此模块,开发者...
Kubernetes Service 全面详解:从概念到实践
2403_88333522的博客
08-02 1035
Kubernetes 中,Pod 是最小的部署单元,但 Pod 存在生命周期短、IP 动态变化等特点,直接通过 Pod IP 访问服务会面临诸多问题。Kubernetes Service 作为集群内部服务暴露和负载均衡的核心组件,解决了这些难题。本文将从概念原理、工作模式、实践操作到排错总结,全面讲解 Kubernetes Service,帮助读者深入理解并掌握其使用方法。Kubernetes Service 定义了一种抽象:一个 Pod 的逻辑分组,以及访问它们的策略(通常称为微服务)。
从零开始:一文搞懂 Kubernetes 概念
小刘运维
07-17 962
本文介绍了(k8s)容器编排平台的核心知识点。首先阐述了容器编排的概念及其必要性,包括应用透明化发布、快速扩容和负载均衡;其次详细解析了k8s的特点和三大开放接口;然后讲解了k8s的架构,包括控制平面(Master)的API Server、etcd、Scheduler和Controller Manager组件,以及工作节点的kubelet、kube-proxy和容器运行时;最后通过编排流程示意图展示了k8s的工作机制。全文为开发者提供了k8s从概念到实践的完整知识体系,帮助快速掌握这一云原生核心技术。
Kubernetes中文文档:核心概念与原理详解
逻辑隔离)、NetworkPolicy(网络策略)、Node(集群中的物理或虚拟机)、PersistentVolume(持久化存储)、Pod(应用实例)、PodPreset(预设Pod的配置)、ReplicaSet(保证Pod副本数量)、ResourceQuota(资源配额...
【深入探讨Kubernetes】:揭开ImagePullBackOff背后的网络协议问题
Kubernetes核心概念解析 ## 1.1 Kubernetes简介 Kubernetes(K8s)是一个开源的、用于自动部署、扩展和管理容器化应用程序的系统。它最初由Google设计和构建,并在2014年作为项目捐赠给了Cloud Native Computing ...
k8s--NetworkPolicy资源对象
weixin_60047971的博客
08-21 350
Kubernetes中,NetworkPolicy是一项关键功能,它允许开发者定义和控制Pod之间的网络通信。本文将深入研究Kubernetes中的NetworkPolicy,详细介绍其原理、用途,并通过实际示例演示如何使用NetworkPolicy来确保集群中的网络安全。NetworkPolicyKubernetes中用于定义Pod之间网络通信规则的资源对象。通过NetworkPolicy,开发者可以控制哪些Pod可以与另外哪些Pod通信,以及使用何种方式进行通信。
重温 K8s 基础概念知识系列六(无状态应用与有状态应用)
tigerhhzz的博客
08-19 800
特性无状态应用 (Stateless)有状态应用 (Stateful)部署方式DeploymentPod 命名无固定顺序有序且固定(如 mysql-0)存储不需要持久化存储必须持久化存储(PVC)扩缩容快速扩容/缩容扩缩容有顺序限制典型应用“人的一生会经历很多痛苦,但回头想想,都是传奇”。
kubeadm方式部署k8s集群
mynameisjinxiaokai的博客
08-18 474
访问 Dashboard:http://localhost:8001/api/v1/namespaces/kubernetes-dashboard/services/https:kubernetes-dashboard:/proxy/,粘贴令牌登录。通过以上步骤,可搭建一个基础的多节点 Kubernetes 集群,适合测试和生产环境(生产环境建议配置 3 个控制平面节点实现高可用)。硬件:2 CPU、2GB 内存(控制平面),1 CPU、1GB 内存(工作节点,生产建议更高)服务器要求(每台节点)
K8S-Pod资源对象——标签
weixin_60047971的博客
08-20 309
标签其实就是分组标签其实就一对 key/value ,被关联到对象上,比如Pod,标签的使用我们倾向于能够表示对象的特殊特点,就是一眼就看出了这个Pod是干什么的,标签可以用来划分特定的对象(比如版本,服务类型等),标签可以在创建一个对象的时候直接定义,也可以在后期随时修改,每一个对象可以拥有多个标签,但是,key值必须是唯一的。创建标签之后也可以方便我们对资源进行分组管理。如果对pod打标签之后就可以使用标签来查看、删除指定的pod。(慎重!!!在k8s中,大部分资源都可以打标签。
重温k8s基础概念知识系列四(服务、负载均衡和联网)
tigerhhzz的博客
08-18 1323
最常用的servicemetadata:spec:selector:ports:port: 80name: httpmetadata:spec:rules:- http:paths:backend:service:name: testport:number: 80host: 可选参数,一般都会配置我们自己的域名。path: 一个路径对应一个serviceName和一个Portbackend: path对应的后端是谁。
K8S跨域CORS: Access-Control-Allow-Origin multiple values问题解决方案
最新发布
lmzf2011的专栏
08-21 334
按照部署的k8s平台。
云原生俱乐部-k8s知识点归纳(5)
2301_80892630的博客
08-20 650
写到这里,k8s的内容已经到一半了,虽然后面的内容我觉得更加玄学一点。控制器真的是个神奇的东西,虽然后面的CRD会带着大家一起做一个控制器,但是还是觉得很奇妙。控制器大概就是k8s中的精华了,通过控制器去监听k8s中api的请求,然后创建对应的资源。这个资源可以是应用业务的pod,也可以是用来管理集群的pod(如calico用来做网络)。如果能够理解控制器和service服务,那么k8s中的很大部分东西都能够理清楚了。当然,还有其他的重要内容,如存储卷、资源、pod调度、升级备份以及自定义资源等等。
kubeadm部署k8s集群环境搭建
Nazi6的博客
08-19 602
g' \ -i /etc/yum.repos.d/epel{,-testing}.repo 现在我们有了EPEL仓库,更新仓库缓存 dnf clean a11 dnf makecache。系统安装好后,看网络好着没,可以ssh连接后,快照。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值