环境信息软件版本号LinuxCentos7.9k8sv1.26.9Docker25.0.4kube-prometheusv0.13.0nginx-ingress-controllerv1.10.1K8S集群信息(提前安装好自己的集群，本文不再讲解集群的安装)主机名IPk8s-master192.168.2.11k8s-node01192.168.2.1

网络策略NetworkPolicy前端通过访问后端的API接口来获取数据库中的数据前端、API接口、数据库在k8s中都为podk8s要求所有pod可以互相访问，但生产中，不能让前端直接访问后端数据库目标是保护数据库，使其不允许从除了API以外的任何pod访问apiVersion:networking.k8s.io/v1kind:

pod之间的通信默认是不隔离的，他们之是能相互通信的，但如果你想通过IP地址或者端口来管理网络通信，那么就可以使用k8s的networkpolicy功能。该功能的实现原理是默认都不通过，显示添加白名单。如果指定namespace，那么该networkpolicy生效的范围是本namespace内。如果没有指定namespace，

在Kubernetes（k8S）中，网络策略（NetworkPolicy）原理是基于标签选择器（labelselectors）和规则定义来实现Pod之间的网络通信控制。其核心原理可以概括为：定义范围：KubernetesNetworkPolicy资源应用于特定的命名空间。每个策略通过podSelector字段指定一组具有匹配标签的Pod，这些Pod将受

在Kubernetes（k8s）中，网络策略（NetworkPolicy）是一种资源对象，用于管理集群内部的网络通信规则。它允许管理员定义哪些Pod可以与哪些其他Pod进行通信，从而实现更细粒度的网络访问控制。具体来说：网络策略规范（NetworkPolicyspec）：定义了在一个命名空间内应用的具体网络策略规则，包括要限

一、基本了解官方文档：https://kubernetes.io/zh-cn/docs/concepts/services-networking/network-policies/基本了解：1.网络策略通过网络插件来实现，创建一个NetworkPolicy资源对象而没有控制器来使它生效的话，是没有任何作用的，而我们搭建K8s集群时安装的calico网络组件就支持网

网络策略介绍如果你希望在IP地址或端口层面（OSI第3层或第4层）控制网络流量，则你可以考虑为集群中特定应用使用Kubernetes网络策略（NetworkPolicy）。NetworkPolicy是一种以应用为中心的结构，允许你设置如何允许Pod与网络上的各类网络“实体”（我们这里使用实体以避免过度

系列文章Cilium系列文章前言今天我们进入Cilium安全相关主题,介绍Kubernetes网络策略以及CiliumNetworkPolicies额外支持的内容。网络策略(NetworkPolicy)的类型默认情况下，Kubernetes集群中的所有pod都可被其他pod和网络端点访问。网络策略允许用户定义Kuber

系列文章Cilium系列文章前言今天我们进入Cilium安全相关主题,介绍Kubernetes网络策略以及CiliumNetworkPolicies额外支持的内容。网络策略(NetworkPolicy)的类型默认情况下，Kubernetes集群中的所有pod都可被其他pod和网络端点访问。网络策略允许用户定义Kube

Context一个默认拒绝（default-deny）的NetworkPolicy可避免在未定义任何其他NetworkPolicy的namespace中意外公开Pod。Task为所有类型为Ingress+Egress的流量在namespacetesting中创建一个名为denypolicy的新默认拒绝NetworkPolicy。此新的NetworkPolicy必须拒绝namespacetest

权限管理RBAC参考链接：https://kubernetes.io/zh-cn/docs/reference/access-authn-authz/rbac/1.Role和ClusterRoleRole作用于namespace内的角色ClusterRole作用于整个集群的集群角色#roledefaultns的pod读权限apiVersion:rbac.authorization.k8s.io/v1kind:Rolemet

往期回顾：第一章：【云原生概念和技术】第二章：2.1容器化基础知识和Docker容器第二章：2.2Dockerfile的编写和最佳实践第二章：2.3容器编排和Kubernetes调度2.4容器网络和存储容器网络和存储是容器化应用中非常重要的两个概念。容器网络可以帮助不同的容器之间进行通信，而容器存

NetworkPolicy用来控制Pod与Pod之间的网络通信，它也支持针对Namespace进行限制。基于白名单模式，符合规则的对象通过，不符合的拒绝。应用场景举例：PodA不能访问PodB；开发环境所有Pod不能访问测试命名空间；提供对外访问时，限制外部IP；官方NetworkPolicyYAML示例：apiVersion:netwo

 网络策略 在 IP 地址或端口层面（OSI 第 3 层或第 4 层）控制网络流量,为集群中特定应用使用 Kubernetes 网络策略（NetworkPolicy）;Pod 可以通信的 Pod 是通过

网络策略（NetworkPolicy）是一种关于Pod间及与其他网络端点间所允许的通信规则的规范。NetworkPolicy资源使用标签选择Pod，并定义选定Pod所允许的通信规则。说明：所

   Task创建一个名为pod-restriction的NetworkPolicy来限制对在namespacedev-team中运行的Podproducts-service的访问。 只运行以下Pod连接到Pod

36.Egress36.1NetworkPolicy概述#flannel不支持这个策略基于NetworkPolicy在三层（网络层）或四层（传输层）控制拒绝或允许请求流量。1.允许或拒绝特定的pod请求目的name

目录一、hostNetwork介绍二、k8s网络策略NetworkPolicy三、Pod隔离的两种类型四、NetworkPolicy资源1）NetworkPolicy示例演示2）选择器to和from的行为五、总结一、

一、NetworkPolicy简介官方介绍：https://kubernetes.io/zh/docs/concepts/services-networking/network-policies/基于NetworkPolicy在三层(网络层)或四层(传输层)控制拒

NetworkPolicy是Kubernetes设计用来限制Pod访问的对象，通过设置NetworkPolicy策略，可以允许Pod被哪些地址访问（即入规则Ingress）、或Pod访问哪些地址（即出规则Egress）。这相当于