您可以通过网络隔离开关，设置命名空间层面的网络策略。

例如命名空间default，网络隔离的默认状态为“隔离状态未开启”，表示“当前集群下的所有工作负载”都可以访问“命名空间default下的工作负载”。

若您需要设置其它工作负载不可以访问“命名空间default下的工作负载”，请参照以下步骤设置：

                  

                    
注意
                    
当前仅容器隧道网络模型**的集群支持网络策略（NetworkPolicy）。
网络策略（NetworkPolicy）暂不支持设置出方向（egress）。
不支持对IPv6地址网络隔离。
                    
                  
                  

前提条件

• 您已成功创建一个Kubernetes集群，参见购买CCE集群。
• 您已成功创建一个命名空间，参见创建命名空间。

操作步骤

步骤 1 登录为CCE控制台，在左侧导航栏中选择“资源管理 > 命名空间”。

步骤 2 在“集群”下拉框中，选择命名空间所在的集群。

步骤 3 在待设置命名空间（例如default）后，将网络隔离一栏的“隔离状态未开启”改为“隔离状态已开启”，开启后，当前集群内的其他工作负载都不能访问此命名空间下的工作负载。

设置完成后，当前集群内其它命名空间下的工作负载都不能访问default下的工作负载。

图 命名空间网络策略

网络隔离说明

打开网络隔离其实是在这个命名空间下创建一个NetworkPolicy，这个NetworkPolicy选择命名空间下所有的Pod，然后不让其他命名空间的Pod访问。

kind: NetworkPolicy 
apiVersion: networking.k8s.io/v1 
metadata: 
    name: deny-default 
    namespace: default 
spec: 
    ingress: 
        - from: 
          - podSelector: {} 
    podSelector: {}                     # {}表示选择所有Pod

NetworkPolicy还可以自定义，具体请参见网络策略（NetworkPolicy）。