Kubernetes 网络策略与零信任（NetworkPolicy、Ingress/Egress 控制）

Kubernetes 网络策略与零信任（NetworkPolicy、Ingress/Egress 控制）关键实践与参数默认拒绝：为命名空间设置默认拒绝入/出站策略；按标签授予最小访问。Ingress：允许来自特定命名空间/选择器的入站；端口与协议明确。Egress：限制外部访问域与端口；配合 DNS 与服务发现策略。配置示例apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: default-deny namespace: app spec: podSelector: {} policyTypes: [Ingress, Egress] ingress: [] egress: [] 验证方法使用 `kubectl exec` 与 `curl` 测试被允许与被拒绝路径。结合 CNI 插件日志与监控观察策略命中与阻断事件。演练策略变更与回滚；确保不影响关键路径。注意事项与 Service Mesh/mTLS 协同；保持身份与网络双重防护。标签与命名空间治理影响策略作用域；需统一规范。外部服务访问的 Egress 控制需与网关策略一致。