---

title: Kubernetes NetworkPolicy实践：命名空间隔离与入口治理

keywords:

• NetworkPolicy
• 隔离
• Ingress/Egress
• 标签选择器
• CNI

description: 用 NetworkPolicy 构建命名空间级的零信任网络隔离，规范入口/出口与服务间访问治理。

categories:

• 文章资讯
• 技术教程

---

Kubernetes NetworkPolicy实践：命名空间隔离与入口治理

概览

• 通过标签选择器与入/出规则定义可达关系，默认拒绝后按需放行。
• 结合 CNI 实现能力与策略观测，防止横向移动与越权访问。

技术参数（已验证）

• 选择器：podSelector/namespaceSelector/ipBlock；入站与出站分别配置；多规则按并集处理。
• 默认策略：为命名空间部署 deny-all 基线，再按服务开放最小必要端口与来源。
• DNS 与外部访问：通过 Egress 控制目的地址与端口；记录出站依赖以便审计。
• CNI 差异：不同 CNI 对 NetworkPolicy 支持存在差异；需在落地前验证能力矩阵。
• 观测与测试：利用探针与策略测试工具验证连通性；记录拒绝事件与失败原因。

实战清单

• 建立命名空间隔离基线；按服务维度细化入/出策略。
• 管理外部依赖与白名单；为 DNS 与时间同步等基础服务单独治理。
• 将策略测试纳入 CI 与变更流程；保持规则简洁与可维护。