NetworkPolicy访问控制

   NetworkPolicy是Kubernetes中一种用于控制Pod之间以及Pod与外部网络之间流量的资源对象。它可以帮助你在 IP 地址或端口层面（OSI 第 3 层或第 4 层）控制网络流量。NetworkPolicy 资源使用标签选择 Pod，并定义选定 Pod 所允许的通信规则。它可以控制 Pod 的入站（Ingress）和出站（Egress）流量。

   使用场景

微服务架构：在微服务架构中，不同的服务通常部署在不同的Pod中。使用NetworkPolicy可以控制服务之间的网络访问，提高安全性。

敏感数据保护：对于处理敏感数据的应用，可以使用NetworkPolicy限制对这些Pod的访问，减少数据泄露的风险，特别是一些需要暴露到外网的Pod。

东西向流量控制：在云原生和微服务场景下，内部网络的东西向通信流量剧增。NetworkPolicy可以帮助控制这些流量，确保只有授权的流量可以通过。

基于命名空间的隔离：通过NetworkPolicy，可以基于命名空间的标签来控制网络访问。只允许特定命名空间的Pod访问某些服务。

要在 Kubernetes 中创建一个 NetworkPolicy：

apiVersion: networking.k8s.io/v1  # API 版本
kind: NetworkPolicy  # 资源类型是 NetworkPolicy
metadata:name: example-network-policy  # NetworkPolicy 的名称namespace: default  # NetworkPolicy 所在的命名空间
spec:podSelector:matchLabels:role: db  # 选择具有标签 "role=db" 的 PodpolicyTypes:- Ingress  # 定义入站规则- Egress  # 定义出站规则ingress:- from:- ipBlock:cidr: 172.17.0.0/16  # 允许来自 172.17.0.0/16 网段的流量except:- 172.17.1.0/24  # 但排除 172.17.1.0/24 网段- namespaceSelector:matchLabels:project: myproject  # 允许来自具有标签 "project=myproject" 的命名空间的流量- podSelector:matchLabels:role: frontend  # 允许来自具有标签 "role=frontend" 的 Pod 的流量ports:- protocol: TCP  # 允许的协议是 TCPport: 6379  # 允许的端口是 6379egress:- to:- ipBlock:cidr: 10.0.0.0/24  # 允许流向 10.0.0.0/24 网段ports:- protocol: TCP  # 允许的协议是 TCPport: 5978  # 允许的端口是 5978

应用配置文件： 使用 kubectl 命令将配置文件应用到 Kubernetes 集群中：

kubectl apply -f example-network-policy.yaml

验证 NetworkPolicy： 确认 NetworkPolicy 已正确创建并生效：

kubectl get networkpolicy -n default