K8s网络策略保护vLLM服务避坑指南
📚 共计 30 章节
01
为什么vLLM服务需要网络策略
vLLM架构特点 · 暴露端口分析 · 常见攻击面
安全基础
端口暴露
02
NetworkPolicy基础概念
Pod选择器 · Ingress/Egress规则 · 策略类型
核心概念
策略类型
03
默认拒绝所有流量策略
配置方法 · 验证方式 · 常见误区
零信任
默认拒绝
04
允许同命名空间内通信
标签选择器配置 · 多Pod场景实践
同命名空间
标签选择
05
允许特定命名空间访问
跨命名空间策略 · namespaceSelector使用
跨命名空间
namespaceSelector
06
允许特定IP段访问
IPBlock配置 · CIDR计算 · 白名单策略
IP白名单
CIDR
07
限制vLLM对外访问
Egress规则配置 · 防止数据泄露
Egress
数据泄露
08
允许访问DNS服务
CoreDNS策略配置 · kube-dns注意事项
DNS
CoreDNS
09
允许访问监控系统
Prometheus指标采集策略 · Grafana访问控制
监控
Prometheus
10
允许访问日志系统
Fluentd/Logstash策略 · 日志端口配置
日志
Fluentd
11
多副本vLLM的P2P通信
分布式推理通信端口 · 内部流量放行
P2P
分布式推理
12
使用网络策略隔离开发/生产环境
环境标签设计 · 策略复用
环境隔离
标签设计
13
策略更新导致服务中断
滚动更新策略 · 灰度发布网络策略
滚动更新
灰度发布
14
策略顺序与优先级
规则匹配顺序 · Deny vs Allow冲突解决
优先级
冲突解决
15
网络策略与Service Mesh共存
Istio/Envoy兼容性 · Sidecar流量管理
Service Mesh
Istio
16
使用Cilium增强网络策略
CiliumNetworkPolicy · L7策略 · DNS策略
Cilium
L7策略
17
审计与监控网络策略
流量日志 · 策略命中统计 · 告警配置
审计
监控告警
18
策略测试与验证工具
kubectl netpol · inspektor-gadget · 网络策略模拟器
测试工具
模拟器
19
常见错误:忘记放行健康检查端口
kubelet存活探针被拦截
健康检查
存活探针
20
常见错误:策略未应用到所有副本
部分Pod被遗漏
副本遗漏
选择器
21
常见错误:CIDR配置错误
服务不可达 · IP段计算失误
CIDR
IP段
22
常见错误:忘记放行NodePort流量
外部访问被阻断
NodePort
外部访问
23
常见错误:策略影响集群内DNS解析
Pod无法解析域名
DNS解析
域名
24
常见错误:策略导致vLLM分布式推理失败
gRPC通信中断
分布式推理
gRPC
25
常见错误:策略与CNI插件不兼容
Calico/Antrea差异
CNI
Calico
26
自动化网络策略管理
策略即代码 · GitOps流程 · CI/CD集成
GitOps
自动化
27
大规模集群策略性能优化
策略数量限制 · 规则合并 · 性能基准测试
性能优化
大规模
28
多租户场景网络隔离
租户标签设计 · 策略模板 · 租户自服务
多租户
隔离
29
合规与安全审计
PCI-DSS/HIPAA合规 · 策略审计报告 · 定期审查
合规
安全审计
30
实战案例:从零开始配置完整网络策略
生产vLLM服务 · 端到端策略设计
实战
完整策略