關於policy的規則問題

对的，Policy是针对指定的Pod, 或者指定namespace下的所有Pod。本质上service是对pod网络的一种管理，Policy也是，他们后台都通过Iptables等方式来实现。所以用Pod方式来控制ingress和egress权限，粒度会比service更灵活也更直接。所以Kuberentes和CNI规范都将policy定义为针对Pod了。

对的，我在例子里给的是通过短划线的方式列举的，这些规则是列表中的元素，命中一个即可生效，相当于OR。

AND也可以实现，将短划线去除。YAML文件里面没有短划线，表示一个完整的内容，多条规则要都满足才行，相当于AND。