什么是 Kubernetes 的 NetworkPolicy，如何隔离微服务？

Kubernetes的NetworkPolicy通过标签选择Pod并定义入站出站规则，需配合Calico等CNI插件实现微服务隔离。默认允许所有流量，可通过podSelector和namespaceSelector应用策略，建议先设置默认拒绝再逐步放行必要通信，结合清晰标签体系和定期审查提升安全性。

Kubernetes 的 NetworkPolicy 是一种网络资源对象，用于控制 Pod 之间的通信规则。它通过定义入站（ingress）和出站（egress）流量策略，实现微服务间的网络隔离，提升集群安全性。

NetworkPolicy 基本原理

NetworkPolicy 本身不会生效，需要配合支持网络策略的 CNI 插件，如 Calico、Cilium 或 Weave Net。它基于标签（label）选择目标 Pod，并设置允许的流量规则。

默认情况下，Pod 是非隔离的：所有 Pod 可以被任意来源访问。只有当命名空间或 Pod 匹配了某个 NetworkPolicy 时，才会进入“隔离状态”。

• 策略只对匹配 podSelector 或 namespaceSelector 的 Pod 生效
• 规则是“拒绝优先”，未明确允许的流量会被阻止
• 可基于 IP、端口、协议、Pod 标签和命名空间进行细粒度控制

如何用 NetworkPolicy 隔离微服务

实际场景中，通常希望不同微服务之间默认不通，只开放必要的端口。以下是一些常见策略模式：

1. 默认拒绝所有入站流量

在命名空间级别设置默认拒绝策略：

kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
  name: deny-all-ingress
  namespace: default
spec:
  podSelector: {}
  policyTypes:
  - Ingress

该策略应用于 default 命名空间中所有 Pod，禁止任何入站连接。

2. 允许特定服务访问

小微助手

微信推出的一款专注于提升桌面效率的助手型AI工具

47

查看详情

例如前端服务（frontend）需要调用后端 API 服务（backend），可以这样放行：

kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
  name: allow-frontend-to-backend
  namespace: production
spec:
  podSelector:
    matchLabels:
      app: backend
  ingress:
  - from:
    - podSelector:
        matchLabels:
          app: frontend
    ports:
    - protocol: TCP
      port: 8080

这条规则允许带有 app: frontend 标签的 Pod 访问 app: backend 的 8080 端口。

3. 限制出口流量（Egress）

防止某个 Pod 随意对外发起请求：

egress:
- to:
  - podSelector:
      matchLabels:
        app: database
  ports:
  - protocol: TCP
    port: 5432
policyTypes:
- Egress

表示该 Pod 只能访问标签为 app: database 的数据库服务的 5432 端口。

最佳实践建议

• 按命名空间划分环境（如 dev、staging、prod），结合 namespaceSelector 控制跨命名空间访问
• 给每个微服务打上清晰的标签（如 app=userservice, version=v1）便于策略管理
• 先使用 default-deny 策略锁定入口，再逐步放开必要通信
• 定期审查策略，避免过度授权或规则冲突
• 生产环境务必启用支持 NetworkPolicy 的 CNI 插件

基本上就这些。只要合理设计标签体系并配置精准的出入站规则，就能有效实现微服务间的网络隔离。

以上就是什么是 Kubernetes 的 NetworkPolicy，如何隔离微服务？的详细内容，更多请关注php中文网其它相关文章！