云服务器K8s集群网络策略原理与实操演示

在云服务器构建的K8s集群里，Pod间的通信安全常被忽视——一个未加限制的数据库Pod可能暴露敏感接口，一个失控的测试Pod可能挤占关键服务带宽。这时候，K8s网络策略就像给集群网络装上"智能门禁"，通过规则定义精准控制流量进出。下面通过实际操作演示，带你理解其核心原理。

网络策略：集群网络的"规则手册"

K8s网络策略本质是一套通信规则集合，通过标签筛选目标Pod，再分别定义入站（Ingress）和出站（Egress）的允许条件。举个电商场景的例子：支付服务Pod（标签app=payment）需要仅允许前端服务Pod（标签app=frontend）通过8080端口访问，其他Pod的连接请求必须阻断——这样的需求就能通过网络策略实现。

要理解其运行基础，得先看云服务器环境下的集群架构。K8s集群通常部署在多台物理机或虚拟机（云服务器实例）上，每台节点有独立网络接口。Pod通过CNI（容器网络接口）插件接入集群网络，常见插件如Calico、Flannel会为Pod分配独立IP，并负责网络隔离与策略落地。

策略的具体实现依赖CNI插件与底层网络的协同。当用户创建一条网络策略后，插件会将规则转化为Linux内核的iptables或ipset规则，写入各节点的网络栈。以Calico为例，它通过BGP（边界网关协议）在集群内同步策略，确保所有节点统一应用规则，避免因配置不同步导致的安全漏洞。

动手搭建：本地验证环境

为直观演示，我们用Minikube在本地快速搭建单节点K8s集群（适合新手操作）。环境准备完成后，需要创建两类关键角色：

1. 服务提供方：web-server Pod（模拟对外服务）
2. 测试客户端：client Pod（用于验证访问权限）

通过以下YAML文件创建Pod：
```yaml
apiVersion: v1
kind: Pod
metadata:
name: web-server
labels:
app: web
spec:
containers:
- name: web-container
image: nginx
---
apiVersion: v1
kind: Pod
metadata:
name: client
labels:
app: client
spec:
containers:
- name: client-container
image: busybox
args: [ "sleep", "3600" ] # 保持Pod长期运行
```
再创建Service暴露web-server：
```yaml
apiVersion: v1
kind: Service
metadata:
name: web-service
spec:
selector:
app: web
ports:
- protocol: TCP
port: 80
targetPort: 80
```

策略应用：给网络加"门禁"

现在创建一条限制访问的网络策略，仅允许client Pod访问web-server：
```yaml
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: web-allow-only-client
spec:
podSelector:
matchLabels: { app: web } # 目标：所有app=web的Pod
policyTypes: [ Ingress ] # 仅控制入站流量
ingress:
- from:
- podSelector: { matchLabels: { app: client } } # 允许来源：app=client的Pod
ports:
- protocol: TCP
port: 80 # 允许端口：TCP 80
```
执行`kubectl apply -f network-policy.yaml`完成策略部署。

效果验证：看策略如何生效

验证分两步，先测允许场景，再测拒绝场景：

**步骤1：授权客户端访问**
进入client Pod执行访问命令：
```sh
kubectl exec -it client -- wget -qO- http://web-service
```
若返回Nginx欢迎页面，说明策略允许授权流量通过。

**步骤2：未授权客户端访问**
创建新Pod（标签app=unauthorized）模拟未授权请求：
```yaml
apiVersion: v1
kind: Pod
metadata:
name: unauthorized-client
labels: { app: unauthorized }
spec:
containers:
- name: container
image: busybox
args: [ "sleep", "3600" ]
```
部署后执行访问命令：
```sh
kubectl apply -f unauthorized-client.yaml
kubectl exec -it unauthorized-client -- wget -qO- http://web-service
```
此时请求会被阻断（无返回内容或超时），证明策略已拦截未授权流量。

云服务器+K8s策略：安全与效率的平衡术

通过这次演示可以看到，云服务器提供的弹性计算资源为K8s集群搭建了基础框架，而网络策略则在这个框架内织就了一张"安全网络"。它既能精准放行必要流量（如业务核心交互），又能有效阻断无关请求（如测试Pod的越权访问），在保障集群安全的同时避免过度限制影响业务效率——这正是现代云原生架构中网络策略的核心价值。