---

title: Kubernetes网络策略NetworkPolicy与Pod安全实践

keywords:

• NetworkPolicy
• PodSecurity
• 最小权限
• Ingress/Egress
• Namespaces
• RBAC
• Seccomp
• Capabilities
• WAF
• 审计

description: 通过 NetworkPolicy 控制入站/出站流量，结合 Pod 安全策略与最小权限，实现集群隔离与安全治理，并提供可验证的配置与流程。

date: 2025-11-25

categories:

• 文章资讯
• 技术教程

---

概述

Kubernetes 默认网络是开放的。本文以 NetworkPolicy 控制流量、结合 Pod 安全与最小权限，构建可审计的安全基线与隔离策略。

NetworkPolicy（已验证）

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-web-to-api
  namespace: app
spec:
  podSelector:
    matchLabels: { app: api }
  policyTypes: [Ingress, Egress]
  ingress:
    - from:
        - podSelector: { matchLabels: { app: web } }
      ports:
        - protocol: TCP
          port: 8080
  egress:
    - to:
        - namespaceSelector: { matchLabels: { name: observability } }
      ports:
        - protocol: TCP
          port: 4318

Pod 安全与最小权限

• 禁用特权与降级能力：allowPrivilegeEscalation: false、移除不必要 capabilities；
• Seccomp 与只读根：seccompProfile: RuntimeDefault、readOnlyRootFilesystem: true；
• 运行用户：非 root 用户与固定 runAsUser；

RBAC 与命名空间

• 按命名空间隔离；对服务账号仅授予必要角色；

验证与审计

• 使用 kubectl exec/网络探测验证策略效果；
• 审计日志记录拒绝与异常访问；

常见误区

• 未设置 Egress 导致任意外联；
• 使用特权容器与可写根文件系统带来风险；
• RBAC 过宽导致权限滥用。

结语

以 NetworkPolicy 与 Pod 安全基线为核心，结合最小权限与审计，Kubernetes 集群可在隔离与可控前提下运行关键工作负载。