不同安全区域之间应用访问安全策略？

按照物理机的策略即可，虚机的网络地址建议尽量固定或者限制在刚好够用的网段范围内，防火墙策略可以按照网段去划分，因为容器ip的迁移特性

参照网络安全区域设置访问控制安全策略原则你清楚了吗？ - 墨天轮 (modb.pro)

1 做好容器云的K8S集群的网络地址规划。对不同网络分区（或安全区域）中的K8S集群的网络安全策略和传统安控方式一样。

2 如果容器云的K8S集群的容器网络技术选型，支持固定IP，则可以做到不同应用的ip，端口等级别的细粒度控制 。譬如 公有云厂商当前都支持pod的网络模式为vpc-cni的固定ip模式 。

3  根据服务是4层还是7层，以及服务的使用范围而定。譬如集群内部的pod之间通信使用ClusterIP.  从集群外部访问 用nodeport方式。从集群外部的7层访问也有用Ingress这类HTTP方式的路由转发方式。另外，还有一些做负载均衡厂商提供了基于负载均衡产品和K8S集成的产品，可以将K8S集群的服务，以传统的且安全的VIP方式暴露。