37. Kubernetes 网络原理——NetworkPolicy

本章讲解知识点

• 1. Network Policy 网络原理
• 2. NetworkPolicy 资源介绍

---

1. Network Policy 网络原理

在 Kubernetes 中，容器之间的连通性是网络模型的关注点，而与此同时，容器之间的隔离性也是同样重要的。Kubernetes 的网络方案对“隔离”到底是如何考虑的呢？Kubernetes 又如何考虑网络“多租户”的需求。在 Kubernetes 的网络方案中，为实现容器之间的隔离性，引入了专门的 API 对象，即 NetworkPolicy。该对象提供了一种描述容器间网络隔离的机制，以满足多租户的需求。

NetworkPolicy 是 Kubernetes 的一个网络策略对象，用于限制 Pod 或 Namespace 之间的网络通信，以实现网络隔离和准入控制。该策略对象可以根据查询条件（如 Label）设置允许或禁止访问客户端 Pod 列表。当前，查询条件可用于 Pod 和 Namespace 级别。但是，该资源对象只配置策略规则，还需要一个策略控制器来实现具体策略规则。第三方网络组件，如 Calico、Weave Net 等，都提供策略控制器来实现 NetworkPolicy。

Network Policy 的工作原理如下图：策略控制器需要实现一个 API Listener，监听用户设置的 NetworkPolicy 定义，并将网络访问规则通过各 Node 的 Agent 进行实际设置（Agent 需要通过 CNI 网络插件实现