Kubernetes网络策略实践：正确配置外部出口流量拒绝策略

在Kubernetes集群中实施网络策略时，一个常见的需求是限制某些Pod对外部网络的访问。本文将深入探讨如何正确配置拒绝外部出口流量的NetworkPolicy，并澄清一些常见的误解。

基础网络策略配置

标准的拒绝外部出口流量策略通常如下所示：

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: deny-external-egress
spec:
  podSelector:
    matchLabels:
      app: restricted-app
  policyTypes:
  - Egress
  egress:
  - to:
    - namespaceSelector:
        matchLabels:
          kubernetes.io/metadata.name: kube-system
      podSelector:
        matchLabels:
          k8s-app: kube-dns
    ports:
      - port: 53
        protocol: UDP
      - port: 53
        protocol: TCP

这个策略实现了以下功能：

1. 选择带有app=restricted-app标签的Pod
2. 阻止所有出口流量
3. 例外允许访问kube-system命名空间中的kube-dns服务（用于DNS解析）

关键概念解析

命名空间内通信的特殊性

Kubernetes网络策略的一个重要特性是：默认情况下，同一命名空间内的Pod可以自由通信。网络策略主要控制的是：

• 进入命名空间的流量（Ingress）
• 离开命名空间的流量（Egress）

这意味着上述策略不会影响同一命名空间内Pod之间的通信，即使没有显式允许。

私有IP地址段的考量

在某些场景下，管理员可能希望：

1. 完全阻止Pod访问外部互联网
2. 但仍允许访问集群内部服务

这时就需要额外添加对私有IP地址段的允许规则：

- to:
  - ipBlock:
      cidr: 10.0.0.0/8
  - ipBlock:
      cidr: 172.16.0.0/12
  - ipBlock:
      cidr: 192.168.0.0/16

实际应用建议

1. 明确需求：首先要确定是要完全隔离Pod，还是仅阻止互联网访问但允许集群内通信
2. 测试验证：应用策略后，务必测试各种通信场景
3. 渐进式实施：可以先应用较宽松的策略，再逐步收紧
4. 监控日志：观察策略是否按预期工作，及时调整

常见误区

1. 认为网络策略可以完全隔离同一命名空间的Pod：实际上需要额外配置才能实现
2. 忽略DNS服务的必要性：任何需要域名解析的Pod都必须允许访问kube-dns
3. 过度限制导致系统组件不可用：某些集群组件可能需要特定访问权限

通过正确理解这些概念和配置方法，管理员可以更有效地控制Kubernetes集群中的网络流量，实现所需的安全隔离级别。