Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
中文
Entry № 599

Kubernetes NetworkPolicy

Kubernetes NetworkPolicy 是什么?

Kubernetes NetworkPolicyKubernetes NetworkPolicy 是按命名空间作用的资源,通过 IP、端口与协议控制哪些 Pod 可以与哪些 Pod 或外部端点通信。

NetworkPolicy 由集群的 CNI 插件(Calico、Cilium、Antrea 等)执行,通过标签选择目标 Pod。每条策略包含 Ingress 与 Egress 规则,可按 Pod、命名空间或 CIDR 设置 from/to 选择器,以及端口和协议。同一命名空间的策略互为叠加,默认拒绝只有在某个方向上有策略选中该 Pod 时才生效。NetworkPolicy 是 Kubernetes 主要的东西向防火墙,用于实现微分段、租户隔离以及在 Pod 被攻陷后限制爆炸半径。Kubernetes 1.29 起的 AdminNetworkPolicy 与 BaselineAdminNetworkPolicy 提供集群级、优先级化的规则,供平台团队使用。

示例

  1. 01

    在租户命名空间下应用 default-deny ingress,并对 ingress controller 开放显式允许规则。

  2. 02

    Egress 策略将应用 Pod 限制为受管数据库 CIDR 与集群 DNS 服务。

常见问题

Kubernetes NetworkPolicy 是什么?

Kubernetes NetworkPolicy 是按命名空间作用的资源,通过 IP、端口与协议控制哪些 Pod 可以与哪些 Pod 或外部端点通信。 它属于网络安全的 云安全 分类。

Kubernetes NetworkPolicy 是什么意思?

Kubernetes NetworkPolicy 是按命名空间作用的资源,通过 IP、端口与协议控制哪些 Pod 可以与哪些 Pod 或外部端点通信。

Kubernetes NetworkPolicy 是如何工作的?

NetworkPolicy 由集群的 CNI 插件(Calico、Cilium、Antrea 等)执行,通过标签选择目标 Pod。每条策略包含 Ingress 与 Egress 规则,可按 Pod、命名空间或 CIDR 设置 from/to 选择器,以及端口和协议。同一命名空间的策略互为叠加,默认拒绝只有在某个方向上有策略选中该 Pod 时才生效。NetworkPolicy 是 Kubernetes 主要的东西向防火墙,用于实现微分段、租户隔离以及在 Pod 被攻陷后限制爆炸半径。Kubernetes 1.29 起的 AdminNetworkPolicy 与 BaselineAdminNetworkPolicy 提供集群级、优先级化的规则,供平台团队使用。

如何防御 Kubernetes NetworkPolicy?

针对 Kubernetes NetworkPolicy 的防御通常结合技术控制与运营实践,详见上方完整定义。

Kubernetes NetworkPolicy 还有哪些其他名称?

常见的别称包括: NetworkPolicy, K8s netpol, AdminNetworkPolicy。

相关术语