k8s VPS服务器网络策略原理演示

为什么需要理解k8s VPS服务器的网络策略？

Kubernetes（k8s）网络策略是控制集群内Pod间流量、Pod与外部网络交互的核心机制。在k8s VPS服务器上，这种策略通过标签（Labels，用于标识Pod的自定义键值对）和选择器（Selectors，根据标签筛选目标Pod的规则）实现精准流量管控，直接影响应用的安全性与通信效率。想要掌握集群网络防护的底层逻辑，通过实际操作演示是最直观的方式。

演示前的准备：创建基础环境

首先需要在k8s VPS服务器上搭建演示所需的应用环境。这里以两个简单的Nginx服务为例，分别模拟前端（frontend）和后端（backend）应用。

使用以下命令创建部署：

kubectl create deployment frontend --image=nginx
kubectl create deployment backend --image=nginx

部署完成后，需将这两个应用暴露为服务，确保Pod能通过网络访问。执行命令：

kubectl expose deployment frontend --port=80
kubectl expose deployment backend --port=80

此时，frontend和backend的Pod已正常运行，服务也对外提供了访问入口，但尚未施加任何网络限制——所有Pod间可以自由通信。

定义网络策略：限制frontend访问backend

假设需求是仅允许frontend Pod访问backend Pod，其他Pod禁止连接。这时需要通过网络策略文件明确规则。

创建名为`network-policy.yaml`的文件，内容如下：

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-frontend-to-backend
spec:
  podSelector:
    matchLabels:
      app: backend  # 目标为所有带app=backend标签的Pod
  policyTypes:
    - Ingress  # 仅限制入站流量
  ingress:
    - from:
      - podSelector:
          matchLabels:
            app: frontend  # 允许来自app=frontend标签的Pod访问

通过`kubectl apply -f network-policy.yaml`命令应用该策略后，k8s VPS服务器会基于标签规则自动过滤流量。

验证策略效果：确认流量是否被正确控制

策略生效后，需要验证两点：frontend Pod能否正常访问backend，非frontend Pod是否被拦截。

1. **验证frontend访问**：进入frontend Pod的终端（替换``为实际Pod名称）：

kubectl exec -it <frontend-pod-name> -- /bin/bash

在终端内执行`curl http://backend-service-ip:80`（backend-service-ip可通过`kubectl get svc backend`获取），若返回Nginx欢迎页，说明访问成功。

2. **验证非frontend访问**：创建一个临时Pod（如`kubectl run test --image=busybox --rm -it -- /bin/sh`），在该Pod内执行相同的`curl`命令。若提示连接超时或拒绝，则证明非frontend Pod的访问被策略拦截。

总结：网络策略的核心价值

通过上述演示可以看到，k8s VPS服务器的网络策略通过标签和选择器实现了“精准管控”——既允许必要的业务流量（如前端调用后端），又阻断了非授权访问（如无关Pod连接后端）。这种机制是构建安全容器集群的关键工具，能有效隔离不同业务模块，降低因流量泛滥导致的安全风险。掌握这一技能，无论是优化现有集群的网络架构，还是规划新应用的部署方案，都能更从容地应对复杂场景。