在 Kubernetes (K8s) 中，NetworkPolicy 是一种用于控制 Pod 间网络流量以及 Pod 与外部网络之间的流量的资源对象。通过配置 NetworkPolicy，你可以在 Kubernetes 集群中实现基于网络的安全策略，类似防火墙规则。

1. NetworkPolicy 基础概念

• Pod Selector：选择应用该网络策略的 Pod。
• Ingress（入站规则）：控制哪些 Pod 或 IP 地址可以向选中的 Pod 发送流量。
• Egress（出站规则）：控制哪些 Pod 或 IP 地址可以从选中的 Pod 接收流量。
• Namespace Selector：选择网络策略影响的命名空间。
• IP Block：定义允许或拒绝的 IP 范围。

2. NetworkPolicy 的作用

• 限制哪些流量可以进入或离开某个 Pod。
• 控制 Pod 间的网络通信，以及 Pod 与外部服务的通信。
• 提供网络层的隔离，使得默认情况下 Pod 不允许相互通信，除非允许。

3. NetworkPolicy 示例

示例1：允许特定 Pod 的 Ingress 流量

这个示例定义了一个 NetworkPolicy，允许 app=web 的 Pod 接收来自标签为 app=db 的 Pod 的流量。

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:name: allow-db-to-webnamespace: default
spec:podSelector:matchLabels:app: webpolicyTypes:- Ingressingress:- from:- podSelector:matchLabels:app: db

解释：

• podSelector：选择应用该策略的目标 Pod，这里是标签 app=web 的 Pod。
• policyTypes：指定策略类型，这里是 Ingress（入站流量）。
• ingress：定义允许哪些来源发送入站流量，这里允许来自 app=db 的 Pod 发送流量。

示例2：限制所有 Egress 流量，允许到特定 IP 的 Egress 流量

这个示例限制 app=backend 的 Pod 发出的所有流量，只允许到 10.0.0.0/24 这个子网的流量。

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:name: restrict-egressnamespace: default
spec:podSelector:matchLabels:app: backendpolicyTypes:- Egressegress:- to:- ipBlock:cidr: 10.0.0.0/24

解释：

• podSelector：选择 app=backend 的 Pod。
• policyTypes：策略类型为 Egress（出站流量）。
• egress：定义允许的出站流量，这里只允许到 10.0.0.0/24 网段的 IP。

示例3：允许从命名空间选择的 Pod 访问

这个示例允许 app=frontend 的 Pod 接收来自 namespace: dev 命名空间中 app=backend 的 Pod 的入站流量。

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:name: allow-from-namespacenamespace: default
spec:podSelector:matchLabels:app: frontendpolicyTypes:- Ingressingress:- from:- namespaceSelector:matchLabels:name: devpodSelector:matchLabels:app: backend

解释：

• namespaceSelector：选择 dev 命名空间。
• podSelector：选择 app=backend 的 Pod。
• ingress：定义允许的入站流量，来自 dev 命名空间中 app=backend 的 Pod。

4. 默认行为

在 Kubernetes 中，如果没有定义任何 NetworkPolicy，Pod 之间是可以自由通信的（基于网络插件）。一旦为某个 Pod 创建了 NetworkPolicy，默认情况下：

• Ingress：会拒绝所有入站流量，除非被明确允许。
• Egress：同理，出站流量会被拒绝，除非有明确规则。

5. 应用 NetworkPolicy 的网络插件

并非所有 Kubernetes 网络插件都支持 NetworkPolicy。以下是支持 NetworkPolicy 的常见插件：

• Calico
• Cilium
• Weave Net
• Kube-router
• Romana

如果使用不支持 NetworkPolicy 的网络插件（如 Flannel），创建的 NetworkPolicy 将不起作用。

6. 常见 NetworkPolicy 操作命令

1. 应用 NetworkPolicy
   使用 kubectl apply 命令应用 NetworkPolicy 文件：

   kubectl apply -f network-policy.yaml
   

2. 查看已创建的 NetworkPolicy
   查看某命名空间下的所有 NetworkPolicy：

   kubectl get networkpolicy -n <namespace>
   

3. 描述 NetworkPolicy
   详细查看某个 NetworkPolicy 的配置信息：

   kubectl describe networkpolicy <policy-name> -n <namespace>
   

4. 删除 NetworkPolicy
   删除指定的 NetworkPolicy：

   kubectl delete networkpolicy <policy-name> -n <namespace>
   

总结：

• NetworkPolicy 提供了一种方式来控制 Kubernetes 集群中 Pod 之间的网络流量，类似于防火墙规则。
• 通过选择合适的 podSelector、namespaceSelector、ingress 和 egress 规则，可以实现精细的流量控制。
• 需要网络插件的支持才能生效，并且默认行为是一旦有 NetworkPolicy，则会阻止未允许的流量。