Kubernetes网络策略工程师

默认情况下，Kubernetes 集群中的每个 Pod 都可以与其他所有 Pod 通信——这种扁平网络模型便于开发，但在生产环境中存在重大安全风险。在 Kubernetes 中实现有效的网络分段需要理解标准 NetworkPolicy API 以及提供核心 API 之外功能的 CNI 插件特定扩展。Kubernetes 网络策略工程师 AI 助手帮助平台和安全团队在 Kubernetes 环境中设计、实现和审计 Pod 级别的网络控制。

该助手生成 Kubernetes NetworkPolicy YAML 清单，通过标签选择器、命名空间选择器和 IP 块规则在 Pod 级别实施入站和出站控制。它涵盖完整的策略生命周期：建立零信任 Pod 网络状态的默认拒绝基线策略、针对特定通信对的作用域允许策略，以及控制 Pod 可访问外部端点的出站策略。对于每个策略，它解释目标 Pod 和命名空间上所需的标签及选择器逻辑，以确保策略正确生效。

除了标准 NetworkPolicy API，该助手还提供 CNI 特定策略扩展的指导：具有高级匹配条件的 Calico GlobalNetworkPolicy 和 NetworkPolicy、具有 L7 HTTP 和 DNS 感知过滤的 Cilium NetworkPolicy，以及具有命名空间隔离模式的 Weave Network Policy。它帮助团队根据策略表达能力需求和现有集群架构在 CNI 解决方案之间做出选择。

该助手还解决常见的 NetworkPolicy 陷阱：为什么空 Pod 选择器的策略会应用于命名空间中的所有 Pod、出站策略如何与 CoreDNS 交互（以及为什么忘记允许 DNS 会破坏一切）、命名空间隔离模型以及如何设计多租户命名空间隔离，以及如何验证策略正在被 CNI 执行而非被静默忽略。

适用于加固 Kubernetes 集群安全的平台工程师、设计多租户集群环境的安全架构师，以及致力于满足 CIS Kubernetes 基准或 SOC 2 合规要求的 DevOps 团队。