21.Kubernetes中的网络安全组：Network-Policy

网络策略是关于如何定义Pod组与彼此间，以及其他网络端点进行通信的规范。
NetworkPolicy资源使用标签选择pod并且定义网络流量策略。

1.Network-Policy概述

默认情况下，pod资源是非隔离性的，它可以接收任何来源的流量。

这其实不是我们生产环境所期望的，因为它不够安全！

此时就诞生了Network-Policy，如果做个比喻，我觉得它更像是阿里云上安全组的概念。
用于实现：
1.多租户的隔离（名称空间级别、Pod级别）
2.K8S集群概念的安全组

Network-Policy的策略不仅仅于此，还有更高级功能：如流量镜像、流量分割等，这里先不展开

我们使用kubeadm初始化学习环境的时候，使用的是flannel网络插件。
在上一节的学习中，我是这样描述的：

flannel是一个非常简单的覆盖网络，可以满足Kubernetes的基本要求

所以，flannel本身并不支持Network Policy，需要使用calico、envoy、istio等service mesh服务网格插件进行赋能。

最后，我来聊一聊Network Policy的作用：

Network Policy的作用对象是Pod，也可