创建一个类型为NetworkPolicy的Kubernetes对象的yaml文件。

第九行的podSelector指定这个NetworkPolicy施加在哪些pod上，通过label来做pod的过滤。

从第16行开始的ingress定义，定义了只有具备标签component=ads,module=app的pod才能够连接component=ads, module=db的pod。

首先创建一个临时的pod，使用正确的label(component=ads,module=app)去访问db pod：

kubectl run --restart=Never -it --rm --image=postgres:9.6 --labels="component=ads,module=app" --env="PGCONNECT_TIMEOUT=5" helper --command -- /bin/bash

执行完毕后看到提示root@helper:/#, 说明我通过上述命令创建的临时pod成功的连接到了postgreSQL的pod上。

输入正确的用户名和密码，能成功连接到postgreSQL pod提供的数据库服务上。

现在我们重新创建一个临时pod，不指定label，因此不满足NetworkPolicy里定义的限制条件，因此会看到我们期望的结果：postgreSQL连接失败。

希望通过例子大家能够理解Kubernetes里NetworkPolicy的工作原理。
要获取更多Jerry的原创文章，请关注公众号"汪子熙":