Kubernetes NetworkPolicy实践：命名空间隔离与入口治理

Kubernetes NetworkPolicy实践：命名空间隔离与入口治理概览通过标签选择器与入/出规则定义可达关系，默认拒绝后按需放行。结合 CNI 实现能力与策略观测，防止横向移动与越权访问。技术参数（已验证）选择器：`podSelector`/`namespaceSelector`/`ipBlock`；入站与出站分别配置；多规则按并集处理。默认策略：为命名空间部署 `deny-all` 基线，再按服务开放最小必要端口与来源。DNS 与外部访问：通过 Egress 控制目的地址与端口；记录出站依赖以便审计。CNI 差异：不同 CNI 对 NetworkPolicy 支持存在差异；需在落地前验证能力矩阵。观测与测试：利用探针与策略测试工具验证连通性；记录拒绝事件与失败原因。实战清单建立命名空间隔离基线；按服务维度细化入/出策略。管理外部依赖与白名单；为 DNS 与时间同步等基础服务单独治理。将策略测试纳入 CI 与变更流程；保持规则简洁与可维护。