Kubernetes网络策略NetworkPolicy与Pod安全实践

概述Kubernetes 默认网络是开放的。本文以 NetworkPolicy 控制流量、结合 Pod 安全与最小权限，构建可审计的安全基线与隔离策略。NetworkPolicy（已验证）apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: allow-web-to-api namespace: app spec: podSelector: matchLabels: { app: api } policyTypes: [Ingress, Egress] ingress: - from: - podSelector: { matchLabels: { app: web } } ports: - protocol: TCP port: 8080 egress: - to: - namespaceSelector: { matchLabels: { name: observability } } ports: - protocol: TCP port: 4318 Pod 安全与最小权限禁用特权与降级能力：`allowPrivilegeEscalation: false`、移除不必要 `capabilities`；Seccomp 与只读根：`seccompProfile: RuntimeDefault`、`readOnlyRootFilesystem: true`；运行用户：非 root 用户与固定 `runAsUser`；RBAC 与命名空间按命名空间隔离；对服务账号仅授予必要角色；验证与审计使用 `kubectl exec`/网络探测验证策略效果；审计日志记录拒绝与异常访问；常见误区未设置 Egress 导致任意外联；使用特权容器与可写根文件系统带来风险；RBAC 过宽导致权限滥用。结语以 NetworkPolicy 与 Pod 安全基线为核心，结合最小权限与审计，Kubernetes 集群可在隔离与可控前提下运行关键工作负载。