如何在 Kubernetes(k8s) 中通过 NetworkPolicy 限制服务之间的通信？

在Kubernetes中通过定义NetworkPolicy资源，使用标签选择器指定允许通信的Pod组，并设置入站(ingress)和出站(egress)规则限制服务间流量。需确保集群网络插件支持NetworkPolicy功能。

在Kubernetes中通过NetworkPolicy限制服务间通信，需遵循以下核心原则：1. 启用网络插件支持：确保集群CNI插件（如Calico、Cilium）支持NetworkPolicy，否则策略不生效；2. 标签驱动隔离：使用podSelector和namespaceSelector精准匹配目标Pod及命名空间，例如仅允许带app=frontend标签的Pod访问app=backend服务；3. 定义出入规则：通过ingress/egress规则控制流量方向，如限制数据库仅接收来自特定应用的TCP 3306端口请求；4. 默认拒绝策略：建议先设置默认拒绝所有流量，再逐步开放必要通信，避免过度暴露；5. 跨命名空间管控：结合namespaceSelector实现跨环境隔离（如prod与test环境互访限制）。实际案例中，需通过kubectl describe networkpolicy验证策略生效范围，并配合日志工具（如Hubble）实时监控流量匹配情况。

是否考虑过使用服务网格（如 Istio）来管理服务间的通信，提供更细粒度的流量控制与安全策略？

1. 确认集群支持NetworkPolicy：确保Kubernetes集群的网络插件（如Calico、Cilium等）支持NetworkPolicy，默认的kubenet插件不支持。

2. 定义目标服务标签：为需要限制的Pod/Service添加标签（如app: backend），用于策略匹配。

3. 创建NetworkPolicy YAML：

   apiVersion: networking.k8s.io/v1
   kind: NetworkPolicy
   metadata:
   name: restrict-service-access
   namespace: default
   spec:
   podSelector:
   matchLabels:
     app: backend  # 目标Pod标签
   policyTypes:
   - Ingress
   ingress:
   - from:
   - podSelector:
       matchLabels:
         app: frontend  # 允许访问的源Pod标签
   ports:
   - protocol: TCP
     port: 80

4. 应用策略：kubectl apply -f policy.yaml

5. 验证规则：

   • 通过kubectl describe networkpolicy restrict-service-access检查配置
   • 使用临时Pod测试连通性：kubectl run tester --image=alpine --rm -it --restart=Never -- curl http://backend-service

扩展方案：

• 命名空间隔离：通过namespaceSelector限制跨命名空间访问
• IP段限制：使用ipBlock字段限制特定IP范围
• 默认拒绝所有：先创建默认拒绝所有入口流量的策略，再逐步开放权限