Kubernetes NetworkPolicy实践：命名空间隔离与入口治理

--- title: Kubernetes NetworkPolicy实践：命名空间隔离与入口治理 keywords: - NetworkPolicy - 隔离 - Ingress/Egress - 标签选择器 - CNI description: 用 NetworkPolicy 构建命名空间级的零信任网络隔离，规范入口/出口与服务间访问治理。 categories: - 文章资讯 - 技术教程 --- # Kubernetes NetworkPolicy实践：命名空间隔离与入口治理 ## 概览 - 通过标签选择器与入/出规则定义可达关系，默认拒绝后按需放行。 - 结合 CNI 实现能力与策略观测，防止横向移动与越权访问。 ## 技术参数（已验证） - 选择器：`podSelector`/`namespaceSelector`/`ipBlock`；入站与出站分别配置；多规则按并集处理。 - 默认策略：为命名空间部署 `deny-all` 基线，再按服务开放最小必要端口与来源。 - DNS 与外部访问：通过 Egress 控制目的地址与端口；记录出站依赖以便审计。 - CNI 差异：不同 CNI 对 NetworkPolicy 支持存在差异；需在落地前验证能力矩阵。 - 观测与测试：利用探针与策略测试工具验证连通性；记录拒绝事件与失败原因。 ## 实战清单 - 建立命名空间隔离基线；按服务维度细化入/出策略。 - 管理外部依赖与白名单；为 DNS 与时间同步等基础服务单独治理。 - 将策略测试纳入 CI 与变更流程；保持规则简洁与可维护。