如何在网络方面进行隔离和联通？

1、根据选择好K8S集群的容器网络方案，启用相应K8S集群内的 NetworkPolicy特性，能够支持按Namespace级别的网络隔离。
2、每个用户分配不同的 Namespace 。

-- 譬如以 Calico 网络方案为例，安装 Calico 网络方案需要预先配置如下：

• -- . kube-apiserver必须开启运行时_extensions/v1beta1/networkpolicies_，即设置启动参数：_--runtime-config=extensions/v1beta1/networkpolicies=true_
• -- . kubelet必须启用cni网络插件，即设置启动参数：_--network-plugin=cni_
• -- . kube-proxy必须启用iptables代理模式，这是默认模式，可以不用设置

• --. kube-proxy不得启用--masquerade-all，这会跟calico冲突
  然后开启配置NetworkPolicy 特性。
  首先在K8S集群中，设置全局不可通
  然后设置同一个ns下的pod可以互通 ，不同ns之间的pod不可以访问*

  apiVersion: networking.k8s.io/v1
  kind: NetworkPolicy
  metadata:
  name: isolate-namespace
  namespace: ns-calico1
  spec:
  podSelector: {}
  policyTypes:
  - Ingress
  - Egress
  ingress:
  - from:
    - namespaceSelector:
        matchLabels:
          nsname: ns-calico1
  egress:
  - to:
    - namespaceSelector:
        matchLabels:
          nsname: ns-calico1