Как NetworkPolicy ограничивает трафик между подами?

NetworkPolicy — firewall-правила на уровне подов. По умолчанию все поды могут общаться со всеми. После применения NetworkPolicy pod получает deny-all и только явно разрешённый трафик проходит. Селекторы по labels выбирают поды. Можно разрешить только frontend → backend :8080, запретить все входящие кроме нужных namespace. Требует CNI с поддержкой NetworkPolicy (Calico, Cilium, Weave).