如何在 Kubernetes(k8s) 中通过 NetworkPolicy 限制服务之间的通信？

在 Kubernetes 中，可通过定义 NetworkPolicy 资源限制服务间通信，使用标签选择器指定允许访问的源和目标 Pod，并配置 ingress/egress 规则。

延伸知识点：PodSelector 的作用与配置 PodSelector 是 NetworkPolicy 中用于匹配目标或来源 Pod 的核心机制，通过 metadata.labels 实现。例如，若限制命名空间内仅允许带有 role=frontend 标签的 Pod 访问 role=backend 的 Pod，配置如下：

apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: backend-allow-frontend spec: podSelector: matchLabels: role: backend ingress:

• from:
  • podSelector: matchLabels: role: frontend ports:
  • protocol: TCP port: 6379

此策略会：

1. 仅作用于含 role=backend 标签的 Pod
2. 仅允许含 role=frontend 标签的 Pod 通过 TCP 6379 端口访问
3. 支持组合 namespaceSelector 实现跨命名空间控制（需指定命名空间标签匹配） 注意：实际生效需集群网络插件支持 NetworkPolicy（如 Calico、Cilium）

1. 确认集群支持NetworkPolicy：确保Kubernetes集群的网络插件（如Calico、Cilium等）支持NetworkPolicy，默认的kubenet插件不支持。

2. 定义目标服务标签：为需要限制的Pod/Service添加标签（如app: backend），用于策略匹配。

3. 创建NetworkPolicy YAML：

   apiVersion: networking.k8s.io/v1
   kind: NetworkPolicy
   metadata:
   name: restrict-service-access
   namespace: default
   spec:
   podSelector:
   matchLabels:
     app: backend  # 目标Pod标签
   policyTypes:
   - Ingress
   ingress:
   - from:
   - podSelector:
       matchLabels:
         app: frontend  # 允许访问的源Pod标签
   ports:
   - protocol: TCP
     port: 80

4. 应用策略：kubectl apply -f policy.yaml

5. 验证规则：

   • 通过kubectl describe networkpolicy restrict-service-access检查配置
   • 使用临时Pod测试连通性：kubectl run tester --image=alpine --rm -it --restart=Never -- curl http://backend-service

扩展方案：

• 命名空间隔离：通过namespaceSelector限制跨命名空间访问
• IP段限制：使用ipBlock字段限制特定IP范围
• 默认拒绝所有：先创建默认拒绝所有入口流量的策略，再逐步开放权限

是否考虑过使用服务网格（如 Istio）来管理服务间的通信，提供更细粒度的流量控制与安全策略？

在Kubernetes中通过NetworkPolicy限制服务间通信，需遵循以下核心原则：1. 启用网络插件支持：确保集群CNI插件（如Calico、Cilium）支持NetworkPolicy，否则策略不生效；2. 标签驱动隔离：使用podSelector和namespaceSelector精准匹配目标Pod及命名空间，例如仅允许带app=frontend标签的Pod访问app=backend服务；3. 定义出入规则：通过ingress/egress规则控制流量方向，如限制数据库仅接收来自特定应用的TCP 3306端口请求；4. 默认拒绝策略：建议先设置默认拒绝所有流量，再逐步开放必要通信，避免过度暴露；5. 跨命名空间管控：结合namespaceSelector实现跨环境隔离（如prod与test环境互访限制）。实际案例中，需通过kubectl describe networkpolicy验证策略生效范围，并配合日志工具（如Hubble）实时监控流量匹配情况。

在Kubernetes中通过定义NetworkPolicy资源，使用标签选择器指定允许通信的Pod组，并设置入站(ingress)和出站(egress)规则限制服务间流量。需确保集群网络插件支持NetworkPolicy功能。