Network Policy

网络策略说明一组 Pod 之间是如何被允许互相通信，以及如何与其它网络Endpoint进行通信。NetworkPolicy 资源使用标签来选择 Pod，并定义了一些规则，这些规则指明允许什么流量进入到选中的 Pod 上。关于Network Policy的详细用法请参考 Kubernetes官网。

Network Policy的作用对象是Pod，也可以应用到Namespace和集群的Ingress、Egress流量。Network Policy是作用在L3/4层的，即限制的是对IP地址和端口的访问，如果需要对应用层做访问限制需要使用如 Istio 这类Service Mesh。

前提条件

网络策略通过网络插件来实现，所以必须使用一种支持 NetworkPolicy 的网络方案（如 calico）—— 非Controller创建的资源，是不起作用的。

隔离的与未隔离的Pod

默认Pod是未隔离的，它们可以从任何的源接收请求。具有一个可以选择Pod的网络策略后，Pod就会变成隔离的。一旦Namespace中配置的网络策略能够选择一个特定的Pod，这个Pod将拒绝任何该网络策略不允许的连接。（Namespace中其它未被网络策略选中的Pod将继续接收所有流量）

NetworkPolicy 资源

下面是一个 NetworkPolicy 的例子：

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: test-network-policy
  namespace: default
spec:
  podSelector:
    matchLabels:
      role: db
  policyTypes:
    - Ingress
    - Egress
  ingress:
    - from:
        - ipBlock:
            cidr: 172.17.0.0/16
            except:
              - 172.17.1.0/24
        - namespaceSelector:
            matchLabels:
              project: myproject
        - podSelector:
            matchLabels:
              role: frontend
      ports:
        - protocol: TCP
          port: 6379
  egress:
    - to:
        - ipBlock:
            cidr: 10.0.0.0/24
      ports:
        - protocol: TCP
          port: 5978

将上面配置POST到API Server将不起任何作用，除非选择的网络方案支持网络策略。

必选字段：像所有其它Kubernetes配置一样， NetworkPolicy 需要 apiVersion、kind 和 metadata 这三个字段，关于如何使用配置文件的基本信息，可以查看 这里。

spec：NetworkPolicy spec具有在给定Namespace中定义特定网络的全部信息。

podSelector：每个 NetworkPolicy 包含一个 podSelector，它可以选择一组应用了网络策略的Pod。由于 NetworkPolicy 当前只支持定义 ingress 规则，这个 podSelector 实际上为该策略定义了一组 “目标Pod”。示例中的策略选择了标签为 “role=db” 的Pod。一个空的 podSelector 选择了该Namespace中的所有Pod。

ingress：每个NetworkPolicy 包含了一个白名单 ingress 规则列表。每个规则只允许能够匹配上 from 和 ports配置段的流量。示例策略包含了单个规则，它从这两个源中匹配在单个端口上的流量，第一个是通过namespaceSelector 指定的，第二个是通过 podSelector 指定的。

egress：每个NetworkPolicy 包含了一个白名单 ingress 规则列表。每个规则只允许能够匹配上 to 和 ports配置段的流量。示例策略包含了单个规则，它匹配目的地 10.0.0.0/24 单个端口的流量。

因此，上面示例的NetworkPolicy：

1. 在 “default” Namespace中 隔离了标签 “role=db” 的Pod（如果他们还没有被隔离）
2. 在 “default” Namespace中，允许任何具有 “role=frontend” 的Pod，IP范围在172.17.0.0–172.17.0.255和172.17.2.0–172.17.255.255（整个172.17.0.0/16段， 172.17.1.0/24除外）连接到标签为 “role=db” 的Pod的TCP端口6379
3. 允许在Namespace中任何具有标签 “project=myproject” ，IP范围在10.0.0.0/24段的Pod，连接到 “default” Namespace中标签为 “role=db” 的Pod的TCP端口5978

查看 NetworkPolicy入门指南给出的更进一步的例子。

默认策略

通过创建一个可以选择所有Pod但不允许任何流量的NetworkPolicy，你可以为一个Namespace创建一个 “默认的” 隔离策略，如下所示：

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: default-deny
spec:
  podSelector:

这确保了即使是没有被任何NetworkPolicy选中的Pod，将仍然是被隔离的。

可选地，在Namespace中，如果你想允许所有的流量进入到所有的Pod（即使已经添加了某些策略，使一些Pod被处理为 “隔离的”），你可以通过创建一个策略来显式地指定允许所有流量：

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-all
spec:
  podSelector:
  ingress:
    - {}

参考

• Network Policies - kubernetes.io