云原生架构下东西流量的管控方式？

访问控制有两个层面，一是网络层的可达，一个pod能ping通另一个pod属于这个层面。另一层面是应用层，一个pod能调用另一个pod的API属于这个层面。从安全角度来讲，网络层可达是攻击渗透的基础条件，应用层可达则使漏洞利用成为进一步可能。 相应地，在安全防护上既需要防护网络层，也需要防护应用层。
1）容器网络层防护，通常使用networkpolicy来做微隔离；
networkpolicy可以采用标签的方式，对具备相同标签的一组POD设定入向和出向的访问控制策略。由于是采用标签而非IP，因此容器动态扩缩容时的IP变化对networkpolicy是没有影响的，非常适合容器的场景。另外，使用networkpolicy，控制粒度可以是单个pod，也可以是一个deployment这样的控制器，也可以是整个namespace，当然也可以是固定IP，非常灵活方便。
2）在应用层，根据软件应用架构不同，可以考虑API网关或servicemesh里的sidecar。
通过在应用层部署API网关，可以实现统一接入、协议适配、流量管理与容错、以及安全防护等多项功能，当然也包括了访问控制。sidecar机制能起到的作用类似，相对来说更贴近k8s的生态。

上述两种机制在实际生产运营中可以单独使用，也可以结合起来起到更纵深的防御。但随着业务应用数量增加和POD数量增加，如果通过手工来配置东西向管控的策略，工作量将变得非常大，策略复杂，维护的成本也高。如果配置不当，还可能引发业务中断。因此，上述手段更多是基础能力，后续应思考的是如何将策略配置简易化、自动化、智能化，从而提升安全防护的效率。