Kubernetes NetworkPolicy
Что такое Kubernetes NetworkPolicy?
Kubernetes NetworkPolicyKubernetes NetworkPolicy — ресурс уровня namespace, который по IP, порту и протоколу определяет, какие поды могут общаться с какими подами или внешними точками.
NetworkPolicy применяется CNI-плагином кластера (Calico, Cilium, Antrea и др.) и выбирает целевые поды по меткам. Каждая политика перечисляет правила Ingress и Egress с опциональными селекторами from/to для подов, namespace или CIDR, плюс порт и протокол. Политики в namespace складываются, и default-deny включается только после того, как любая политика отметит под в данном направлении. NetworkPolicy — основной east-west межсетевой экран в Kubernetes, его используют для микросегментации, изоляции арендаторов и ограничения радиуса поражения при компрометации пода. AdminNetworkPolicy и BaselineAdminNetworkPolicy (Kubernetes 1.29+) добавляют правила уровня кластера с приоритетами для платформенных команд.
● Примеры
- 01
Default-deny ingress в namespace арендатора и явные разрешения для ingress-контроллера.
- 02
Egress-политика ограничивает поды приложения CIDR управляемой БД и сервисом DNS кластера.
● Частые вопросы
Что такое Kubernetes NetworkPolicy?
Kubernetes NetworkPolicy — ресурс уровня namespace, который по IP, порту и протоколу определяет, какие поды могут общаться с какими подами или внешними точками. Относится к категории Облачная безопасность в кибербезопасности.
Что означает Kubernetes NetworkPolicy?
Kubernetes NetworkPolicy — ресурс уровня namespace, который по IP, порту и протоколу определяет, какие поды могут общаться с какими подами или внешними точками.
Как работает Kubernetes NetworkPolicy?
NetworkPolicy применяется CNI-плагином кластера (Calico, Cilium, Antrea и др.) и выбирает целевые поды по меткам. Каждая политика перечисляет правила Ingress и Egress с опциональными селекторами from/to для подов, namespace или CIDR, плюс порт и протокол. Политики в namespace складываются, и default-deny включается только после того, как любая политика отметит под в данном направлении. NetworkPolicy — основной east-west межсетевой экран в Kubernetes, его используют для микросегментации, изоляции арендаторов и ограничения радиуса поражения при компрометации пода. AdminNetworkPolicy и BaselineAdminNetworkPolicy (Kubernetes 1.29+) добавляют правила уровня кластера с приоритетами для платформенных команд.
Как защититься от Kubernetes NetworkPolicy?
Защита от Kubernetes NetworkPolicy обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Kubernetes NetworkPolicy?
Распространённые альтернативные названия: NetworkPolicy, K8s netpol, AdminNetworkPolicy.
● Связанные термины
- cloud-security№ 838
Pod Security Standards
Pod Security Standards (PSS) — определённые в Kubernetes профили безопасности Privileged, Baseline и Restricted, фиксирующие безопасную конфигурацию подов вместо устаревшего PodSecurityPolicy.
- cloud-security№ 597
Admission Controller Kubernetes
Admission controller — плагин API-сервера Kubernetes, перехватывающий аутентифицированные запросы до сохранения, чтобы по политике валидировать, изменять или отклонять объекты.
- cloud-security№ 757
OPA Gatekeeper
OPA Gatekeeper — контроллер политик CNCF, использующий Open Policy Agent и язык Rego для применения политик допуска и аудита к ресурсам Kubernetes.
- cloud-security№ 602
Kyverno
Kyverno — CNCF-движок политик Kubernetes, который валидирует, изменяет и создаёт ресурсы по политикам, написанным на нативном YAML, а не на отдельном DSL.
- cloud-security№ 582
Kata Containers
Kata Containers — открытая среда выполнения, которая упаковывает каждый контейнер или под Kubernetes в лёгкую виртуальную машину, обеспечивая аппаратный уровень изоляции.
- cloud-security№ 455
gVisor
gVisor — открытое ядро уровня приложения от Google, перехватывающее системные вызовы контейнеров в пользовательском пространстве и сокращающее поверхность атаки на ядро хоста.