Kubernetes网络策略NetworkPolicy与Pod安全实践

--- title: Kubernetes网络策略NetworkPolicy与Pod安全实践 keywords: - NetworkPolicy - PodSecurity - 最小权限 - Ingress/Egress - Namespaces - RBAC - Seccomp - Capabilities - WAF - 审计 description: 通过 NetworkPolicy 控制入站/出站流量，结合 Pod 安全策略与最小权限，实现集群隔离与安全治理，并提供可验证的配置与流程。 date: 2025-11-25 categories: - 文章资讯 - 技术教程 --- # 概述 Kubernetes 默认网络是开放的。本文以 NetworkPolicy 控制流量、结合 Pod 安全与最小权限，构建可审计的安全基线与隔离策略。 # NetworkPolicy（已验证） ```yaml apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: allow-web-to-api namespace: app spec: podSelector: matchLabels: { app: api } policyTypes: [Ingress, Egress] ingress: - from: - podSelector: { matchLabels: { app: web } } ports: - protocol: TCP port: 8080 egress: - to: - namespaceSelector: { matchLabels: { name: observability } } ports: - protocol: TCP port: 4318 ``` # Pod 安全与最小权限 - 禁用特权与降级能力：`allowPrivilegeEscalation: false`、移除不必要 `capabilities`； - Seccomp 与只读根：`seccompProfile: RuntimeDefault`、`readOnlyRootFilesystem: true`； - 运行用户：非 root 用户与固定 `runAsUser`； # RBAC 与命名空间 - 按命名空间隔离；对服务账号仅授予必要角色； # 验证与审计 - 使用 `kubectl exec`/网络探测验证策略效果； - 审计日志记录拒绝与异常访问； # 常见误区 - 未设置 Egress 导致任意外联； - 使用特权容器与可写根文件系统带来风险； - RBAC 过宽导致权限滥用。 # 结语 以 NetworkPolicy 与 Pod 安全基线为核心，结合最小权限与审计，Kubernetes 集群可在隔离与可控前提下运行关键工作负载。