Соединения из белого списка сетевых политик, поэтому существует неявное ИЛИ - если соединение разрешено хотя бы одной сетевой политикой, то оно будет разрешено.
Каждая сетевая политика имеет поле podSelector, в котором выбирается группа (ноль или более) модулей.Когда модуль выбирается модулем сети, говорят, что к нему применяется политика сети.
Каждая политика сети также указывает список разрешенных (входных и исходящих) соединений.Когда сетевая политика создана, все модули, к которым она применяется, могут устанавливать или принимать соединения, перечисленные в ней.Другими словами, сетевая политика по сути является белым списком разрешенных соединений - соединение с модулем или из него разрешено, если оно разрешено хотя бы одной из сетевых политик, применяемых к модулю.
Этот рассказоднако, есть важный поворот: на основании всего описанного до сих пор можно было бы подумать, что если бы к модулю не применялись сетевые политики, то подключения к нему или от него не допускались.На самом деле все наоборот: если никакие сетевые политики не применяются к модулю, то все сетевые подключения к нему и из него разрешены (если подключение не запрещено сетевой политикой, применяемой к другому узлу в соединении).
Это поведение относится к понятию «изоляция»: модули «изолированы», если к ним применяется хотя бы одна сетевая политика;если политики не применяются, они «не изолированы».Сетевые политики не применяются на неизолированных модулях.Хотя это несколько нелогично, такое поведение облегчает запуск и запуск кластера - пользователь, который не понимает сетевые политики, может запускать свои приложения без необходимости их создания.