第11课: 网络策略

Pod间通信控制、网络安全策略的配置与最佳实践

学习目标

理解Kubernetes网络策略的概念和作用
掌握网络策略的配置方法
学习如何控制Pod间的通信
了解网络策略的最佳实践

网络策略的基本概念

网络策略（Network Policy）是Kubernetes中用于控制Pod间通信的资源。通过网络策略，你可以：

限制Pod只能接收来自特定来源的流量
控制Pod可以发送流量到哪些目标
定义允许的网络协议和端口
实现网络层的安全隔离

网络策略工作原理

Pod → 网络策略规则 → 流量过滤 → 允许/拒绝通信

网络策略的核心概念

1. 选择器（Selectors）

作用：指定网络策略应用于哪些Pod。

podSelector：选择要应用策略的Pod
namespaceSelector：选择源或目标命名空间
podSelector + namespaceSelector：选择特定命名空间中的特定Pod

2. 规则类型

ingress：控制进入Pod的流量
egress：控制从Pod发出的流量

3. 流量规则

from：指定允许的流量来源（ingress规则）
to：指定允许的流量目标（egress规则）
ports：指定允许的端口和协议

网络策略配置示例

示例1：基本的入站流量控制

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-specific-ingress
  namespace: default
spec:
  podSelector:
    matchLabels:
      app: web
  policyTypes:
  - Ingress
  ingress:
  - from:
    - podSelector:
        matchLabels:
          app: frontend
    ports:
    - protocol: TCP
      port: 80

示例2：同时控制入站和出站流量

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: control-both-ways
  namespace: default
spec:
  podSelector:
    matchLabels:
      app: backend
  policyTypes:
  - Ingress
  - Egress
  ingress:
  - from:
    - podSelector:
        matchLabels:
          app: frontend
    ports:
    - protocol: TCP
      port: 8080
  egress:
  - to:
    - podSelector:
        matchLabels:
          app: database
    ports:
    - protocol: TCP
      port: 5432
  - to:
    - ipBlock:
        cidr: 8.8.8.8/32
    ports:
    - protocol: UDP
      port: 53

示例3：基于命名空间的流量控制

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: namespace-isolation
  namespace: production
spec:
  podSelector:
    matchLabels:
      app: sensitive
  policyTypes:
  - Ingress
  ingress:
  - from:
    - namespaceSelector:
        matchLabels:
          purpose: production
    ports:
    - protocol: TCP
      port: 443

示例4：默认拒绝所有流量

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: default-deny
  namespace: default
spec:
  podSelector:
  policyTypes:
  - Ingress
  - Egress

---

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-dns
  namespace: default
spec:
  podSelector:
  policyTypes:
  - Egress
  egress:
  - to:
    - namespaceSelector:
        matchLabels:
          kubernetes.io/metadata.name: kube-system
    ports:
    - protocol: UDP
      port: 53
    - protocol: TCP
      port: 53

命令行操作

# 查看网络策略
kubectl get networkpolicies
kubectl get networkpolicies -n <namespace>

# 查看网络策略详情
kubectl describe networkpolicy <policy-name>

# 创建网络策略
kubectl apply -f network-policy.yaml

# 删除网络策略
kubectl delete networkpolicy <policy-name>

# 测试网络策略
# 使用curl测试Pod间通信
kubectl exec -it <source-pod> -- curl <target-pod-ip>:<port>

# 查看Pod的IP地址
kubectl get pods -o wide

最佳实践：

采用默认拒绝策略：首先创建默认拒绝所有流量的网络策略，然后逐步添加允许规则
基于最小权限原则：只允许必要的流量，避免过度开放
使用标签选择器：通过标签而非IP地址来定义流量规则，提高可维护性
分层网络策略：在命名空间级别和Pod级别都设置适当的网络策略
考虑DNS流量：确保Pod能够访问DNS服务，否则可能导致服务发现失败
测试网络策略：在生产环境部署前，充分测试网络策略的效果
文档化网络策略：记录网络策略的设计意图和规则，便于后续维护

常见问题与解决方案

问题1：网络策略不生效

可能原因：Kubernetes集群未安装支持网络策略的CNI插件（如Calico、Cilium等）

解决方案：安装支持网络策略的CNI插件

问题2：Pod无法访问DNS服务

可能原因：网络策略阻止了DNS流量

解决方案：添加允许访问DNS服务的egress规则

问题3：网络策略过于复杂难以维护

可能原因：规则设计不合理

解决方案：使用标签组织Pod，简化网络策略规则

实践练习

练习任务：

基础练习：创建一个简单的网络策略，控制两个Pod之间的通信
进阶练习：为一个多服务应用配置完整的网络策略，包括前端、后端和数据库
挑战练习：实现命名空间级别的网络隔离，只允许特定命名空间的Pod访问
综合练习：设计并实现一个符合零信任原则的网络安全策略

总结

网络策略是Kubernetes中实现网络安全的重要工具，通过合理配置网络策略，可以：

提高应用的安全性，减少攻击面
实现Pod间的网络隔离
控制流量流向，优化网络性能
满足合规性要求

在实际应用中，需要根据应用的架构和安全需求，设计并实现合适的网络策略。网络策略的设计应该遵循最小权限原则，只允许必要的流量，同时确保应用的正常运行。

上一课下一课