编辑“︁Kubernetes网络安全”︁（章节）

= Kubernetes网络安全 =

'''Kubernetes网络安全'''是Kubernetes集群安全的重要组成部分，涉及控制Pod、服务、节点和外部系统之间的通信。通过网络安全策略、服务网格、网络插件和其他机制，Kubernetes提供了多层防护，确保集群内外的流量符合安全要求。

== 概述 ==
Kubernetes网络安全的核心目标是：
* 限制Pod之间的通信（横向隔离）
* 控制Pod与外部服务的交互（南北向流量）
* 防止未授权访问敏感服务
* 加密网络流量（如使用TLS）

Kubernetes本身不直接实现网络策略，而是通过'''CNI（Container Network Interface）插件'''（如Calico、Cilium或Weave Net）和'''NetworkPolicy'''资源来管理网络安全。

== 关键概念 ==

=== NetworkPolicy ===
NetworkPolicy是Kubernetes中定义网络规则的资源，它基于标签选择器指定哪些Pod可以相互通信。以下是一个基础的NetworkPolicy示例：

<syntaxhighlight lang="yaml">
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-frontend-to-backend
spec:
  podSelector:
    matchLabels:
      app: backend
  policyTypes:
  - Ingress
  ingress:
  - from:
    - podSelector:
        matchLabels:
          app: frontend
    ports:
    - protocol: TCP
      port: 6379
</syntaxhighlight>

'''解释'''：
* 此策略允许带有标签`app: frontend`的Pod访问带有标签`app: backend`的Pod的6379端口。
* `policyTypes`字段指定规则适用于入站（Ingress）流量。

=== 服务网格（Service Mesh） ===
服务网格（如Istio或Linkerd）通过Sidecar代理提供高级网络安全功能：
* 自动mTLS（双向TLS）加密
* 细粒度的流量控制
* 访问审计和监控

=== 网络插件对比 ===
{| class="wikitable"
|+ 常见CNI插件的网络安全能力
! 插件 !! NetworkPolicy支持 !! 加密 !! 其他特性
|-
| Calico | 是 | 可选（WireGuard） | 高性能
|-
| Cilium | 是 | 是（IPSec或WireGuard） | 基于eBPF
|-
| Weave Net | 是 | 是 | 简单易用
|}

== 实际案例 ==

=== 案例1：隔离开发和生产环境 ===
通过NetworkPolicy确保开发环境的Pod不能访问生产环境的数据库：

<syntaxhighlight lang="yaml">
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: deny-dev-to-prod-db
spec:
  podSelector:
    matchLabels:
      env: prod
      role: db
  policyTypes:
  - Ingress
  ingress:
  - from:
    - podSelector:
        matchLabels:
          env: prod
</syntaxhighlight>

=== 案例2：API服务的IP白名单 ===
只允许特定IP范围访问API服务：

<syntaxhighlight lang="yaml">
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: api-whitelist
spec:
  podSelector:
    matchLabels:
      app: api-server
  policyTypes:
  - Ingress
  ingress:
  - from:
    - ipBlock:
        cidr: 192.168.1.0/24
    ports:
    - protocol: TCP
      port: 443
</syntaxhighlight>

== 高级主题 ==

=== 流量加密 ===
使用服务网格实现自动mTLS的流量加密：

<mermaid>
graph LR
    ClientPod -->|明文流量| Sidecar1
    Sidecar1 -->|mTLS加密| Sidecar2
    Sidecar2 -->|解密| ServerPod
</mermaid>

加密过程可通过以下Istio配置实现：

<syntaxhighlight lang="yaml">
apiVersion: security.istio.io/v1beta1
kind: PeerAuthentication
metadata:
  name: default
spec:
  mtls:
    mode: STRICT
</syntaxhighlight>

=== 网络策略的数学表达 ===
NetworkPolicy的规则可以形式化为：

<math>
\text{AllowTraffic}(A,B) \iff \exists \text{Policy} \in P: \text{Selector}(\text{Policy}, A) \land \text{Selector}(\text{Policy}, B)
</math>

其中：
* <math>P</math>是所有NetworkPolicy的集合
* <math>\text{Selector}</math>检查Pod是否符合策略的选择条件

== 最佳实践 ==
1. '''默认拒绝所有流量'''：先设置全局拒绝规则，再逐步开放必要通信
2. '''最小权限原则'''：只开放必要的端口和协议
3. '''标签一致性'''：使用清晰的标签体系（如`env: prod`、`tier: frontend`）
4. '''监控和审计'''：使用网络监控工具（如Cilium Hubble）检查实际流量

== 常见问题 ==

'''Q: NetworkPolicy不生效怎么办？'''
* 检查CNI插件是否支持NetworkPolicy
* 确认Pod标签匹配策略中的选择器
* 使用`kubectl describe networkpolicy`查看策略详情

'''Q: 如何调试网络策略？'''
* 使用`kubectl get networkpolicy`查看已应用的策略
* 通过临时开放所有流量进行测试
* 使用`tcpdump`或`kubectl exec`进入Pod测试连通性

== 总结 ==
Kubernetes网络安全通过多层机制保护集群通信，从基础的NetworkPolicy到高级的服务网格加密。理解这些概念并合理实施策略，是构建安全Kubernetes应用的关键步骤。初学者应从NetworkPolicy开始实践，而高级用户可探索服务网格和eBPF等高级功能。

[[Category:集成部署]]
[[Category:Kubernetes]]
[[Category:Kubernetes安全]]