# 网络策略管理

ClawOS 网络策略管理用于将 Kubernetes 的网络隔离能力产品化为可复用的策略模板。平台管理员可以预先定义网络访问边界，用户在创建 OpenClaw 实例时选择或默认应用对应策略；ClawOS 会在实例创建后自动下发真实的网络策略，限制实例的入站或出站访问范围。

该能力适用于企业环境中对 Agent 运行边界有安全要求的场景，例如：

- 限制 OpenClaw 实例访问敏感内网网段
- 控制公网访问范围
- 允许访问指定数据库 / API 服务
- 隔离不同用户实例

## 适用场景

- 限制 OpenClaw 实例访问企业内网网段
- 为不同安全等级的 OpenClaw 实例提供不同网络隔离策略
- 将平台安全基线固化为默认策略，在实例创建时自动生效
- 为有特殊访问诉求的实例提供可选网络策略模板

## 角色与权限说明

### 平台管理员

可以进行以下操作：

- 创建 / 编辑 / 启用 / 停用网络策略模板
- 设置模板是否为平台默认策略

### 工作空间成员

可以进行以下操作：

- 创建 OpenClaw 实例时查看可用的网络策略模板
- 选择平台允许使用的可选网络策略
- 查看当前实例已启用的网络策略
- 根据权限跳转到容器管理中创建自定义 NetworkPolicy

!!! note

    普通用户不能直接编辑平台管理员创建的网络策略模板。

## 网络策略类型说明

ClawOS 中的网络策略模板可以分为以下几类。

### 平台默认策略

平台默认策略由平台管理员配置，用于定义 OpenClaw 实例运行时必须遵守的安全基线。

- 默认策略会在创建 OpenClaw 实例时**自动启用**，用户不能取消
- 通常用于保障平台整体安全

### 用户可选策略

用户可选策略由平台管理员创建，用户可以在创建 OpenClaw 实例时按需选择。

- 用户只能选择是否启用该策略，**不能修改**策略内容

### 自定义网络策略

当平台预置策略无法满足特殊场景时，用户可以根据权限前往容器管理中的原生 **NetworkPolicy** 页面创建自定义网络策略（拥有 NS 编辑权限的用户即可创建）。

## 创建网络策略模板

1. 点击页面右上角的 **创建网络策略模板**，进入创建页面
2. 按页面提示填写模板信息并配置访问规则
3. 配置完成后点击 **保存**

### 策略类型选择

**平台默认策略**

- 在创建 OpenClaw 实例时自动生效，用户不能取消
- 适合放置平台必须执行的安全规则，例如：
  - 禁止访问敏感内网网段
  - 禁止访问集群核心服务
  - 保留必要的 DNS 解析能力

**用户可选策略**

- 展示在 OpenClaw 实例创建页面，用户可按场景选择是否启用
- 适合放置按场景启用的规则，例如：
  - 允许访问模型服务
  - 允许访问企业知识库
  - 允许访问 Teams / 飞书消息渠道
  - 允许访问指定业务系统

### 配置访问规则

策略配置分为**入流量策略**和**出流量策略**。如果源 Pod 想要成功连接到目标 Pod，源 Pod 的出流量策略和目标 Pod 的入流量策略都需要允许连接；任何一方不允许，都会导致连接失败。

点击 **➕** 开始配置策略，支持配置多条策略。多条网络策略的效果相互叠加，只有同时满足所有网络策略，才能成功建立连接。

| 配置项 | 说明 | 用途 |
| --- | --- | --- |
| **podSelector** | 选择指定 Pod | 允许或限制访问带有指定标签的服务 |
| **namespaceSelector** | 选择指定命名空间 | 允许或限制访问某个命名空间下的服务 |

!!! note

    保存后，该模板会出现在网络策略模板列表中。若创建时勾选 **启用** 且模板为 **平台默认策略**，已创建及未来创建的 OpenClaw 实例均会立即自动启用，用户不能取消。若不确定配置效果，可在创建时取消勾选「启用」。

## 创建 OpenClaw 实例时使用网络策略

进入路径：**OpenClaw 实例** → **创建实例** → **网络策略**

相关操作请参见 [OpenClaw 实例](../workspace/openclaw.md)。

### 平台默认策略

- **默认启用，不可取消**
- 这是平台管理员设置的安全基线，所有实例必须遵守

### 可选策略

- 用户可以根据实例用途按需选择

### 自定义策略

若平台默认策略和可选策略均不能满足 OpenClaw 实例需求，可通过快捷链接前往创建原生 **NetworkPolicy**。

!!! note

    创建后的原生 NetworkPolicy **不会**出现在 OpenClaw 实例的网络策略下拉框中。

## 注意事项

- **入流量策略**控制「谁能访问当前实例」
- **出流量策略**控制「当前实例能访问谁」
- `podSelector` 用于选择带有指定标签的 Pod
- `namespaceSelector` 用于选择带有指定标签的命名空间
- 平台默认策略用户不能取消
- 可选策略用户可以按需选择
- 修改网络策略可能影响模型调用、知识库访问或消息渠道收发，请谨慎操作