一个默认拒绝（default-deny）的NetworkPolicy可避免在未定义任何其他NetworkPolicy的namespace中意外公开Pod。

为所有类型为Ingress+Egress的流量在namespace testing中创建一个名为denypolicy的新默认拒绝NetworkPolicy。

此新的NetworkPolicy必须拒绝namespace testing 中的所有的Ingress + Egress 流量。

将新创建的默认拒绝NetworkPolicy应用于在namespace testing中运行的所有Pod。

你可以在/cks/net/p1.yaml找到一个模板清单文件。

https://kubernetes.io/zh-cn/docs/concepts/services-networking/network-policies/

考试时执行，切换集群。模拟环境中不需要执行。

kubectl config use-context KSCS00101

创建名为denypolicy 的 NetworkPolicy，拒绝testing 命名空间内所有 Ingress + Egress 流量

（这里可能是ingress 或 egress 或 ingress+egress,根据题目要求写。）

vi /cks/net/p1.yaml

修改为

……

metadata:

name: denypolicy # 修改 name

namespace: testing # 注意添加namespace

spec:

podSelector: {}

policyTypes:

• Ingress # 注意看题，是Ingress + Egress(入口+出口)，还是只是Ingress或只是Egress。

• Egress # 在1.25的考试中，只要求拒绝所有Egress流量，那就只写这个Egress即可，就不要写Ingress了。

创建：

kubectl apply -f /cks/net/p1.yaml

检查：

kubectl describe networkpolicy denypolicy -n testing