Kubernetes Pod 默认可以自由地相互通信。当您的集群用于多个应用程序或团队时,这会带来安全风险。一个 Pod 中的错误行为或恶意访问可能会将流量引导至集群中的其他 Pod。
本文将教您如何通过设置网络策略来避免这种情况。这些规则可让您在 IP 地址级别( OSI第 3 层或第 4 层)控制 Pod 到 Pod 的流量。您可以精确定义每个 Pod 允许的入口和出口源。
创建网络策略
网络策略是通过将NetworkPolicy对象添加到集群来创建的。每项策略都定义了它适用的 Pod 以及一个或多个入口和出口规则。以下是基本政策清单:
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: network-policy
namespace
