Zum Inhalt springen
Zurück zu: Kubernetes Autoscaling: HPA, VPA und Cluster Autoscaler im Vergleich
Kubernetes & Container 7 Min. Lesezeit

Kubernetes Network Policies: Microsegmentierung für Container-Workloads

Standardmäßig kann in Kubernetes jeder Pod mit jedem kommunizieren. Network Policies ändern das — wir zeigen wie.

devRocks Engineering · 25. Februar 2026 · Aktualisiert: 31. März 2026
Kubernetes Security Networking Calico
Kubernetes Network Policies: Microsegmentierung für Container-Workloads

Das Problem: Flat Network

In einem Standard-Kubernetes-Cluster kann jeder Pod jeden anderen Pod erreichen — unabhängig vom Namespace. Das ist bequem für Entwickler, aber ein Albtraum für Security-Teams.

Network Policies verstehen

Network Policies sind Kubernetes-native Firewall-Regeln auf Pod-Ebene. Sie definieren, welcher Traffic erlaubt ist — alles andere wird blockiert (Default Deny).

  • Ingress Policies: Kontrollieren eingehenden Traffic — welche Pods dürfen mit diesem Pod kommunizieren?
  • Egress Policies: Kontrollieren ausgehenden Traffic — wohin darf dieser Pod Verbindungen aufbauen?
  • Label-basiert: Policies selektieren Pods über Labels, nicht über IP-Adressen — dynamisch und Kubernetes-nativ.

Best Practices

  • Default Deny: Starten Sie mit einer Policy, die allen Traffic blockiert, und erlauben Sie dann gezielt.
  • Namespace-Isolation: Trennen Sie Umgebungen (dev, staging, prod) auf Namespace-Ebene mit Policies.
  • DNS erlauben: Vergessen Sie nicht, Egress zu Port 53 (DNS) zu erlauben — sonst funktioniert Service Discovery nicht mehr.
  • CNI-Plugin: Stellen Sie sicher, dass Ihr CNI-Plugin Network Policies unterstützt. Calico und Cilium sind empfehlenswert.

Fazit

Network Policies sind ein Muss für produktive Kubernetes-Cluster. Sie kosten nichts, sind deklarativ verwaltbar und reduzieren die Angriffsfläche drastisch. Bei devRocks sind sie Teil jedes Cluster-Setups.

Fragen zu diesem Thema?

Wir beraten Sie gerne zu den in diesem Artikel beschriebenen Technologien und Lösungen.

Kontakt aufnehmen

Seit über 25 Jahren realisieren wir Engineering-Projekte für Mittelstand und Enterprise.

Weitere Artikel aus „Kubernetes & Container“

Kubernetes-Betrieb für den Mittelstand
Kubernetes & Container 7 Min.

Kubernetes-Betrieb für den Mittelstand

Kubernetes-Betrieb für den Mittelstand: Wann er sich lohnt, welche Risiken zählen und wie Sie Stabilität, Tempo und Cloud-Kosten im Griff behalten.

08. Mai 2026
Kubernetes Autoscaling: HPA, VPA und Cluster Autoscaler im Vergleich
Kubernetes & Container 8 Min.

Kubernetes Autoscaling: HPA, VPA und Cluster Autoscaler im Vergleich

Autoscaling ist das Herzstück jeder skalierbaren Kubernetes-Architektur. Wir vergleichen die drei Autoscaling-Mechanismen und zeigen, wann welcher Ansatz am besten geeignet ist.

20. März 2026
Zero-Downtime Deployments mit Kubernetes: Rolling Updates richtig konfigurieren
Kubernetes & Container 6 Min.

Zero-Downtime Deployments mit Kubernetes: Rolling Updates richtig konfigurieren

Ein falsch konfiguriertes Rolling Update kann trotz Kubernetes zu Downtime führen. Wir zeigen die häufigsten Fehler und wie Sie sie vermeiden.

05. März 2026

Häufig gestellte Fragen

Kubernetes Network Policies sind Firewall-Regeln auf Pod-Ebene, die steuern, welcher Traffic zwischen Pods erlaubt oder blockiert wird. Sie sind Bestandteil der Sicherheitsstrategie in Kubernetes-Clustern und helfen, Risiken durch ungewollte Kommunikation zu minimieren.
Network Policies verbessern die Sicherheit, indem sie den Datenverkehr zwischen Pods kontrollieren und nur autorisierte Verbindungen zulassen. Durch die Implementierung von Default Deny-Policies lässt sich die Angriffsfläche entscheidend verringern.
Zu den Best Practices gehören das Starten mit einer Default Deny-Policy, die Verwendung von Namespace-Isolation für verschiedene Umgebungen und das Gewähren von DNS-Zugriff für Egress-Traffic. Außerdem sollte das verwendete CNI-Plugin die Unterstützung von Network Policies gewährleisten.
Ingress-Policies steuern, welcher eingehende Datenverkehr zu einem Pod erlaubt ist, während Egress-Policies den ausgehenden Datenverkehr eines Pods regeln. Beide Typen sind notwendig, um eine umfassende Kontrolle über den Netzwerkverkehr zu erreichen.
Um Network Policies umzusetzen, müssen Sie spezifische YAML-Dateien definieren, die die gewünschten Regeln für Pods und deren Kommunikation enthalten. Diese Dateien können dann mit kubectl im Cluster angewendet werden. Es ist wichtig, sicherzustellen, dass das CNI-Plugin Ihres Clusters diese Policies unterstützt.

Keine Antwort gefunden?

Sprechen Sie uns an