网络策略管理¶
ClawOS 网络策略管理用于将 Kubernetes 的网络隔离能力产品化为可复用的策略模板。平台管理员可以预先定义网络访问边界,用户在创建 OpenClaw 实例时选择或默认应用对应策略;ClawOS 会在实例创建后自动下发真实的网络策略,限制实例的入站或出站访问范围。
该能力适用于企业环境中对 Agent 运行边界有安全要求的场景,例如:
- 限制 OpenClaw 实例访问敏感内网网段
- 控制公网访问范围
- 允许访问指定数据库 / API 服务
- 隔离不同用户实例
适用场景¶
- 限制 OpenClaw 实例访问企业内网网段
- 为不同安全等级的 OpenClaw 实例提供不同网络隔离策略
- 将平台安全基线固化为默认策略,在实例创建时自动生效
- 为有特殊访问诉求的实例提供可选网络策略模板
角色与权限说明¶
平台管理员¶
可以进行以下操作:
- 创建 / 编辑 / 启用 / 停用网络策略模板
- 设置模板是否为平台默认策略
工作空间成员¶
可以进行以下操作:
- 创建 OpenClaw 实例时查看可用的网络策略模板
- 选择平台允许使用的可选网络策略
- 查看当前实例已启用的网络策略
- 根据权限跳转到容器管理中创建自定义 NetworkPolicy
Note
普通用户不能直接编辑平台管理员创建的网络策略模板。
网络策略类型说明¶
ClawOS 中的网络策略模板可以分为以下几类。
平台默认策略¶
平台默认策略由平台管理员配置,用于定义 OpenClaw 实例运行时必须遵守的安全基线。
- 默认策略会在创建 OpenClaw 实例时**自动启用**,用户不能取消
- 通常用于保障平台整体安全
用户可选策略¶
用户可选策略由平台管理员创建,用户可以在创建 OpenClaw 实例时按需选择。
- 用户只能选择是否启用该策略,**不能修改**策略内容
自定义网络策略¶
当平台预置策略无法满足特殊场景时,用户可以根据权限前往容器管理中的原生 NetworkPolicy 页面创建自定义网络策略(拥有 NS 编辑权限的用户即可创建)。
创建网络策略模板¶
- 点击页面右上角的 创建网络策略模板,进入创建页面
- 按页面提示填写模板信息并配置访问规则
- 配置完成后点击 保存
策略类型选择¶
平台默认策略
- 在创建 OpenClaw 实例时自动生效,用户不能取消
- 适合放置平台必须执行的安全规则,例如:
- 禁止访问敏感内网网段
- 禁止访问集群核心服务
- 保留必要的 DNS 解析能力
用户可选策略
- 展示在 OpenClaw 实例创建页面,用户可按场景选择是否启用
- 适合放置按场景启用的规则,例如:
- 允许访问模型服务
- 允许访问企业知识库
- 允许访问 Teams / 飞书消息渠道
- 允许访问指定业务系统
配置访问规则¶
策略配置分为**入流量策略**和**出流量策略**。如果源 Pod 想要成功连接到目标 Pod,源 Pod 的出流量策略和目标 Pod 的入流量策略都需要允许连接;任何一方不允许,都会导致连接失败。
点击 ➕ 开始配置策略,支持配置多条策略。多条网络策略的效果相互叠加,只有同时满足所有网络策略,才能成功建立连接。
| 配置项 | 说明 | 用途 |
|---|---|---|
| podSelector | 选择指定 Pod | 允许或限制访问带有指定标签的服务 |
| namespaceSelector | 选择指定命名空间 | 允许或限制访问某个命名空间下的服务 |
Note
保存后,该模板会出现在网络策略模板列表中。若创建时勾选 启用 且模板为 平台默认策略,已创建及未来创建的 OpenClaw 实例均会立即自动启用,用户不能取消。若不确定配置效果,可在创建时取消勾选「启用」。
创建 OpenClaw 实例时使用网络策略¶
进入路径:OpenClaw 实例 → 创建实例 → 网络策略
相关操作请参见 OpenClaw 实例。
平台默认策略¶
- 默认启用,不可取消
- 这是平台管理员设置的安全基线,所有实例必须遵守
可选策略¶
- 用户可以根据实例用途按需选择
自定义策略¶
若平台默认策略和可选策略均不能满足 OpenClaw 实例需求,可通过快捷链接前往创建原生 NetworkPolicy。
Note
创建后的原生 NetworkPolicy **不会**出现在 OpenClaw 实例的网络策略下拉框中。
注意事项¶
- **入流量策略**控制「谁能访问当前实例」
- **出流量策略**控制「当前实例能访问谁」
podSelector用于选择带有指定标签的 PodnamespaceSelector用于选择带有指定标签的命名空间- 平台默认策略用户不能取消
- 可选策略用户可以按需选择
- 修改网络策略可能影响模型调用、知识库访问或消息渠道收发,请谨慎操作