如何通过 Kubernetes(k8s) 配置网络策略来限制 Pod 之间的流量？

作为客户技术经理，我的建议是：Kubernetes网络策略的核心在于利用NetworkPolicy资源定义精细化的流量规则。首先明确PodSelector匹配目标Pod，结合namespaceSelector控制跨命名空间访问，通过ingress/egress规则限制入站和出站流量。需注意：1)集群必须启用支持NetworkPolicy的CNI插件（如Calico/Cilium）；2)默认拒绝所有流量，显式放通必要通信；3)生产环境中建议采用分层策略，先全局拒绝再逐步开放，结合业务微服务架构进行隔离。典型错误包括忽略端口协议指定、未考虑DNS等系统组件依赖。最后务必通过kubectl exec执行跨Pod网络连通性测试验证策略有效性。

在k8s里限制Pod之间的流量，主要靠NetworkPolicy资源。简单来说，就是给Pod贴标签，然后写规则控制谁能连进来（ingress）或出去（egress）。比如你想只让带frontend标签的Pod访问backend的Pod，就在NetworkPolicy里用podSelector匹配backend的标签，然后在ingress规则里指定允许来源是frontend标签的Pod。注意集群要装支持NetworkPolicy的CNI插件（比如Calico），不然规则不生效！

通过 Kubernetes 配置网络策略限制 Pod 流量，需创建 NetworkPolicy 资源，定义 podSelector、ingress/egress 规则。例如：

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: deny-all-except-frontend
spec:
  podSelector:
    matchLabels:
      app: backend
  policyTypes:
  - Ingress
  ingress:
  - from:
    - podSelector:
        matchLabels:
          app: frontend

延伸知识点：namespaceSelector 与 podSelector 联合使用

在 NetworkPolicy 中，namespaceSelector 和 podSelector 可组合定义跨命名空间的流量规则。例如，仅允许来自特定命名空间（如 project: prod）且带有标签 role: api 的 Pod 访问：

- from:
  - namespaceSelector:
      matchLabels:
        project: prod
    podSelector:
      matchLabels:
        role: api

注意：

1. 未显式允许的流量默认被拒绝（若策略存在）；
2. 需集群 CNI 插件支持（如 Calico/Cilium）；
3. 空 podSelector（{}）表示选中当前命名空间所有 Pod。

在Kubernetes中通过NetworkPolicy配置Pod间流量限制时，需结合CNI插件（如Calico/Cilium）实现。核心步骤包括：1.定义命名空间与标签体系；2.编写NetworkPolicy资源，通过podSelector、namespaceSelector及端口规则精细化控制流量方向。实践中，曾用以下策略隔离生产/测试环境：在prod命名空间设置默认拒绝所有入站，仅允许带role=api的Pod访问数据库的3306端口。挑战包括：1.CNI插件兼容性问题（如Flannel不支持策略）；2.复杂微服务拓扑导致策略冲突，需用kubectl describe networkpolicy排查；3.Egress策略遗漏引发DNS解析故障，需额外开放kube-dns的53/UDP端口。建议配合kubeclt run -it --rm busybox --image=busybox进行telnet/nslookup实测验证。