2. 首页 > Kubernetes教程 > 正文

Kubernetes教程FG057-Kubernetes网络策略(NetworkPolicy)配置与实战

教程整理:风哥教程  |  更新时间:2026-03-12  |  教程分类:Kubernetes教程  |  文档学习:26

内容简介

本篇文章主要介绍Kubernetes中网络策略(NetworkPolicy)的配置与使用方法。风哥教程参考Kubernetes官方文档网络策略相关内容,结合生产环境实际操作场景,详细讲解网络策略的配置方法、最佳实践和常见问题解决方案。

目录大纲

Part01-基础概念与理论知识

1.1 网络策略概述

网络策略是Kubernetes中用于控制Pod间网络通信的安全机制,它允许用户定义哪些Pod可以与其他Pod通信。网络策略的主要作用包括:

  • 网络隔离:限制Pod间的网络通信
  • 安全加固:防止未授权的网络访问
  • 流量控制:控制Pod的入站和出站流量

1.2 网络策略的核心概念

网络策略的核心概念包括:

  • Pod选择器(podSelector):指定应用网络策略的Pod
  • 入站规则(ingress):控制进入Pod的流量
  • 出站规则(egress):控制从Pod发出的流量
  • 规则(rules):定义允许的流量来源和目的地
  • 端口(ports):指定允许的网络端口

Part02-生产环境规划与建议

2.1 网络策略的设计原则

  • 默认拒绝原则:默认拒绝所有流量,只允许明确授权的流量
  • 最小权限原则:只允许必要的网络通信
  • 分层防御:在不同层次实施网络策略
  • 明确规则:网络策略规则应该清晰明确,易于理解和维护

2.2 网络安全的最佳实践

    ,风哥提示:。

  • 使用命名空间隔离:为不同的应用或团队创建独立的命名空间
  • 实施网络策略:为每个命名空间配置适当的网络策略
  • 限制入站流量:只允许必要的入站流量
  • 限制出站流量:控制Pod的出站流量,防止数据泄露
  • 定期审查:定期审查网络策略,确保其有效性

Part03-生产环境项目实施方案

3.1 网络策略的基本配置

网络策略的基本配置示例,风哥提示:。

创建网络策略

# 创建网络策略YAML文件
[root@fgedu-master ~]# cat > network-policy-default.yaml << EOF apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: default-deny namespace: default spec: podSelector: {} policyTypes: - Ingress - Egress EOF
# 应用网络策略
[root@fgedu-master ~]# kubectl apply -f network-policy-default.yaml

networkpolicy.networking.k8s.io/default-deny created

查看网络策略

# 查看网络策略
[root@fgedu-master ~]# kubectl get networkpolicies -n default

NAME POD-SELECTOR AGE
default-deny 1m

3.2 入站流量控制配置

入站流量控制的配置示例。

允许特定Pod的入站流量

# 创建允许特定Pod入站流量的网络策略
[root@fgedu-master ~]# cat > network-policy-ingress.yaml << EOF apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: allow-specific-pods namespace: default spec: podSelector: matchLabels: app: web policyTypes: - Ingress ingress: - from: - podSelector:,学习交流加群风哥微信: itpux-com。 matchLabels: app: api ports:- protocol: TCP port: 80 EOF
# 应用网络策略
[root@fgedu-master ~]# kubectl apply -f network-policy-ingress.yaml

networkpolicy.networking.k8s.io/allow-specific-pods created

允许来自特定命名空间的入站流量

# 创建允许来自特定命名空间入站流量的网络策略
[root@fgedu-master ~]# cat > network-policy-ingress-namespace.yaml << EOF apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: allow-from-namespace namespace: default spec: podSelector: matchLabels: app: db policyTypes: - Ingress ingress: - from: - namespaceSelector: matchLabels: name: frontend ports: - protocol: TCP port: 3306 EOF
# 应用网络策略
[root@fgedu-master ~]# kubectl apply -f network-policy-ingress-namespace.yaml

networkpolicy.networking.k8s.io/allow-from-namespace created

3.3 出站流量控制配置

出站流量控制的配置示例。

允许特定目的地的出站流量

# 创建允许特定目的地出站流量的网络策略
[root@fgedu-master ~]# cat > network-policy-egress.yaml << EOF apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: allow-egress-to-db namespace: default spec: podSelector: matchLabels: app: api policyTypes: - Egress egress: - to: - podSelector:,学习交流加群风哥QQ113257174。 matchLabels: app: db ports:- protocol: TCP port: 3306 - to: - ipBlock: cidr: 10.0.0.0/24 ports: - protocol: TCP port: 53 - protocol: UDP port: 53 EOF
# 应用网络策略
[root@fgedu-master ~]# kubectl apply -f network-policy-egress.yaml

networkpolicy.networking.k8s.io/allow-egress-to-db created

Part04-生产案例与实战讲解

4.1 多租户环境的网络隔离

某企业有多个开发团队,需要在同一Kubernetes集群中隔离不同团队的网络通信。

案例背景

  • 团队数量:3个开发团队
  • 环境类型:每个团队需要开发、测试、生产三个环境
  • 网络需求:
    • 团队内部的Pod可以相互通信
    • 不同团队的Pod之间不能通信
    • 生产环境的Pod与开发、测试环境的Pod不能通信

网络策略配置

# 创建团队A的命名空间
kubectl create namespace team-a-dev
kubectl create namespace team-a-test
kubectl create namespace team-a-prod
# 为团队A的开发环境配置网络策略
cat > network-policy-team-a-dev.yaml << EOF apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: team-a-dev-network-policy namespace: team-a-dev spec: podSelector: {} policyTypes: - Ingress - Egress ingress: - from: - podSelector: {} egress: - to: - podSelector: {} EOF # 应用网络策略 kubectl apply -f network-policy-team-a-dev.yaml # 为团队A的生产环境配置网络策略,更多视频教程www.fgedu.net.cn。 cat > network-policy-team-a-prod.yaml << EOF apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: team-a-prod-network-policy namespace: team-a-prod spec: podSelector: {} policyTypes: - Ingress - Egress ingress: - from: - podSelector: {} egress: - to: - podSelector: {} EOF # 应用网络策略 kubectl apply -f network-policy-team-a-prod.yaml # 类似配置其他团队的网络策略

4.2 微服务架构的网络策略

某企业部署了一个微服务应用,需要配置网络策略以确保服务间的安全通信。。。

案例背景

  • 应用:微服务应用,包含前端服务、API服务、数据库服务和缓存服务
  • 网络需求:
    • 前端服务可以访问API服务
    • API服务可以访问数据库服务和缓存服务
    • 数据库服务和缓存服务只能被API服务访问
    • 所有服务都可以访问DNS服务

网络策略配置

# 创建微服务命名空间
[root@fgedu-master ~]# kubectl create namespace fgedu-microservices

# 为前端服务配置网络策略
[root@fgedu-master ~]# cat > network-policy-frontend.yaml << EOF apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: frontend-network-policy namespace: fgedu-microservices spec: podSelector: matchLabels: app: frontend policyTypes: - Ingress - Egress ingress: - from: - ipBlock: cidr: 0.0.0.0/0 ports: - protocol: TCP port: 80 egress: - to: - podSelector: matchLabels: app: api ports:- protocol: TCP port: 8080,更多学习教程公众号风哥教程itpux_com。 - to: - ipBlock: cidr: 10.0.0.0/24 ports: - protocol: TCP port: 53 - protocol: UDP port: 53 EOF # 应用网络策略 [root@fgedu-master ~]# kubectl apply -f network-policy-frontend.yaml

# 为API服务配置网络策略
[root@fgedu-master ~]# cat > network-policy-api.yaml << EOF apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: api-network-policy namespace: fgedu-microservices spec: podSelector: matchLabels: app: api policyTypes: - Ingress - Egress ingress: - from: - podSelector: matchLabels: app: frontend ports: - protocol: TCP port: 8080 egress: - to: - podSelector: matchLabels: app: db ports: - protocol: TCP port: 3306 - to: - podSelector: matchLabels: app: cache ports: - protocol: TCP port: 6379 - to: - ipBlock: cidr: 10.0.0.0/24 ports: - protocol: TCP port: 53 - protocol: UDP port: 53 EOF # 应用网络策略 [root@fgedu-master ~]# kubectl apply -f network-policy-api.yaml
# 为数据库服务配置网络策略
[root@fgedu-master ~]# cat > network-policy-db.yaml << EOF apiVersion: networking.k8s.io/v1 kind: NetworkPolicy。 metadata:,from K8S+DB视频:www.itpux.com。 name: db-network-policy namespace: fgedu-microservices spec: podSelector: matchLabels: app: db policyTypes: - Ingress - Egress ingress: - from: - podSelector: matchLabels: app: api ports: - protocol: TCP port: 3306 egress: - to: - ipBlock: cidr: 10.0.0.0/24 ports: - protocol: TCP port: 53 - protocol: UDP port: 53 EOF # 应用网络策略 [root@fgedu-master ~]# kubectl apply -f network-policy-db.yaml

Part05-风哥经验总结与分享

5.1 网络策略配置的最佳实践

  • 默认拒绝所有流量:首先配置默认拒绝所有流量的网络策略,然后逐步开放必要的通信
  • 使用标签选择器:通过Pod标签和命名空间标签来精确控制流量
  • 分层配置:在命名空间级别和Pod级别都配置网络策略
  • 考虑DNS流量:确保所有Pod都能访问DNS服务
  • 定期审查:定期审查网络策略,确保其符合安全要求
  • 测试网络策略:在生产环境部署前,充分测试网络策略的效果

5.2 常见问题与解决方案

问题 原因 解决方案
网络策略不生效 网络插件不支持NetworkPolicy 确保使用支持NetworkPolicy的网络插件(如Calico、Cilium)
Pod间通信被阻止 网络策略配置过于严格 检查网络策略规则,确保必要的通信被允许
DNS解析失败 未配置DNS流量的出站规则 在网络策略中添加对DNS服务的访问规则
跨命名空间通信失败 未配置命名空间间的网络策略 创建允许跨命名空间通信的网络策略
网络策略冲突 多个网络策略规则冲突 检查并调整网络策略规则,避免冲突

本文由风哥教程整理发布,仅用于学习测试使用,转载注明出处:http://www.fgedu.net.cn/10327.html

相关推荐

联系我们

在线咨询:点击这里给我发消息

微信号:itpux-com

工作日:9:30-18:30,节假日休息