K8s NetworkPolicy 安全治理（2025）

K8s NetworkPolicy 安全治理（2025）NetworkPolicy 提供细粒度网络访问控制，是零信任与分层隔离的重要基础。一、隔离模型命名空间隔离：在命名空间层面设定默认拒绝策略。选择器：基于 `podSelector` 与 `namespaceSelector` 精准匹配。二、规则与方向入站规则：限制来源与端口；仅允许必要通信。出站规则：限制外部访问范围，降低攻击面。三、观测与联动观测：记录被拒与放行事件，定位误配与异常。联动：与服务网格与网关策略协同统一。注意事项关键词、分类与描述与正文一致；策略与机制为通用与可验证实践。从最小权限出发迭代策略，先封后放。