Zurück zur Übersicht

Begriff

Network Policy (Kubernetes)

Kubernetes Security S2
2 Quellen 0 Lernpfade 1 Backlink enriched

Warum wichtig?

Dieser Begriff ist ein Knoten im SengakujiWorks-Wissensnetz. Nutze Level 0 für die erste Einordnung, Level 1 für Praxis, Level 2 für technische Struktur und Level 3 für Grenzen, Fallstricke und Expertenkontext.

In Kubernetes dürfen standardmäßig alle mit allen reden. Pod A (dev) kann Datenbank Z (prod) scannen. Das ist unsicher (Zero Trust Albtraum). Eine Network Policy ist eine Firewall-Regel innerhalb des Clusters. Du sagst: "Datenbank Z darf nur von App Z angesprochen werden. Sonst niemandem." Das CNI-Plugin (der Netzwerk-Hausmeister) setzt das durch. Verkehr, der nicht explizit erlaubt ist, wird blockiert (Deny-All Strategie empfohlen).

Merksatz: Eine Kubernetes-Ressource, die steuert, welcher Traffic zwischen Pods (und nach außen) erlaubt ist, ähnlich einer Firewall-Allowlist auf Pod-Ebene.


Quick-Check

  1. Sind Policies Stateful?
    Ja (wie iptables). Wenn ich "Ingress" erlaube, ist die Antwort ("Egress") automatisch erlaubt. Ich muss nicht beide Richtungen definieren.
  2. Was passiert ohne Policy?
    "Allow Any". Alles ist offen. Das ist der Default-Zustand ("Flat Network") eines K8s Clusters.
  3. Debuggen?
    Schrecklich schwer. "Warum geht der Request nicht durch?". kubectl zeigt keine Logs von gedroppten Paketen. Man braucht CNI-spezifische Tools (wie cilium monitor oder Hubble UI), um "Policy Verdict: DROP" zu visualisieren.