动态与公告
- 产品动态
- 公告
- 产品发布记录
产品简介
购买指南
- 购买指引
- 购买 TKE 标准集群
- 购买原生节点
- 购买超级节点
快速入门
- 新手指引
- 快速创建一个标准集群
- 入门示例
- 容器应用部署 Check List
集群配置
- 标准集群概述
- 集群管理
- 网络管理
- 存储管理
- 节点管理
- GPU 资源管理
- 远程终端
应用配置
- 工作负载管理
- 服务和配置管理
- 组件和应用管理
- 弹性伸缩
- 容器登录方式
可观测配置
- 运维可观测性
- 成本洞察和优化
调度配置
- 调度组件概述
- 资源利用率优化调度
- 业务优先级保障调度
- Qos 感知调度
安全和稳定性
- 容器服务安全组设置
- 身份验证和授权
- 应用安全
多集群管理
- 计划升级
- 备份中心
云原生服务指南
- 云原生 etcd
- Prometheus 监控服务
- TKE Serverless 集群指南
- TKE 注册集群指南
实践教程
- 集群
- Serverless 集群
- 调度
- 安全
- 服务部署
- 网络
- 发布
- 日志
- 监控
- 运维
- Terraform
- DevOps
- 弹性伸缩
- 容器化
- 成本管理
- 混合云
- AI
故障处理
API 文档
- History
- Introduction
- API Category
- Making API Requests
- Elastic Cluster APIs
- Resource Reserved Coupon APIs
- Cluster APIs
- Third-party Node APIs
- Relevant APIs for Addon
- Network APIs
- Node APIs
- Node Pool APIs
- TKE Edge Cluster APIs
- Cloud Native Monitoring APIs
- Scaling group APIs
- Super Node APIs
- Other APIs
- Data Types
- Error Codes
- TKE API 2022-05-01
常见问题
- TKE 标准集群
- TKE Serverless 集群
- 运维类
- 隐患处理
- 服务类
- 镜像仓库类
- 远程终端类
- 事件类
- 资源管理类
服务协议
- TKE Service Level Agreement
- TKE Serverless Service Level Agreement
联系我们
词汇表

Network Policy 说明

Download

聚焦模式

字号

最后更新时间： 2026-04-21 15:13:14

警告：
Network Policy 组件基于 kube-router，对 iptables 有全表 save/restore 的行为，而该行为在 iptables 低版本与高版本共存时可能出现兼容性问题导致异常 (如 kube-proxy 也使用 iptables) ，不建议安装，如一定需要可根据集群版本自行安装推荐的社区开源 kube-router，以下是版本对照表：
TKE 版本
kube-proxy iptables
推荐 kube-router 版本
说明
1.12~1.30
v1.8.7 (nft)
<= v1.5.1
iptables 都是低版本，无兼容性问题。
1.32~1.34
v1.8.9 (nft)
v1.5.2+（推荐最新版）
iptables 都是高版本，无兼容性问题。
简介
组件介绍
Network Policy 是 Kubernetes 提供的一种资源，用于定义基于 Pod 的网络隔离策略。它描述了一组 Pod 是否可以与其他组 Pod，以及其他 Network Entities 进行通信。本组件提供了针对该资源的 Controller 实现。如果您希望在 IP 地址或端口层面（OSI 第3层或第4层）控制特定应用的网络流量，则可考虑使用本组件。
部署在集群内的 Kubernetes 对象
Kubernetes 对象名称
类型
请求资源
所属 Namespace
networkpolicy
DaemonSet
每个实例CPU:250m，Memory:250Mi
kube-system
networkpolicy
ClusterRole
-
kube-system
networkpolicy
ClusterRoleBinding
-
kube-system
networkpolicy
ServiceAccount
-
kube-system
组件权限说明
权限说明
该组件权限是当前功能实现的最小权限依赖。
需要获取集群内的 namespaces、pods、services、nodes、endpoints 和 networkpolicies，所以需要 list/get/watch 权限。
权限定义
kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: networkpolicy
rules:
  - apiGroups:
      - ""
    resources:
      - namespaces
      - pods
      - services
      - nodes
      - endpoints
    verbs:
      - list
      - get
      - watch
  - apiGroups:
      - "networking.k8s.io"
    resources:
      - networkpolicies
    verbs:
      - list
      - get
      - watch
  - apiGroups:
      - extensions
    resources:
      - networkpolicies
    verbs:
      - get
      - list
      - watch
操作步骤
1. 登录 容器服务控制台，在左侧导航栏中选择集群。
2. 在集群管理页面单击目标集群 ID，进入集群详情页。
3. 选择左侧菜单栏中的组件管理，进入组件列表页面。
4. 在组件列表页面中选择新建，并在新建组件页面中勾选 NetworkPolicy。NetworkPolicy 详细配置可参见 Network Policy 最佳实践。
5. 单击完成即可创建组件。

帮助和支持

本页内容是否解决了您的问题？

您也可以联系销售或提交工单以寻求帮助。

填写满意度调查问卷，共创更好文档体验。

文档反馈

TKE 版本	kube-proxy iptables	推荐 kube-router 版本	说明
1.12~1.30	v1.8.7 (nft)	<= v1.5.1	iptables 都是低版本，无兼容性问题。
1.32~1.34	v1.8.9 (nft)	v1.5.2+（推荐最新版）	iptables 都是高版本，无兼容性问题。

Kubernetes 对象名称	类型	请求资源	所属 Namespace
networkpolicy	DaemonSet	每个实例CPU:250m，Memory:250Mi	kube-system
networkpolicy	ClusterRole	-	kube-system
networkpolicy	ClusterRoleBinding	-	kube-system
networkpolicy	ServiceAccount	-	kube-system

tencent cloud

容器服务

Network Policy 说明

简介

组件介绍

部署在集群内的 Kubernetes 对象

组件权限说明

权限说明

权限定义

操作步骤

帮助和支持