您需要使用kubectl get endpoints --namespace default kubernetes获取主服务器的真实的IP，并制定一个出口策略来允许这样做。

---
kind: NetworkPolicy
apiVersion: networking.k8s.io/v1 
metadata:
  name: allow-apiserver
  namespace: test
spec:
  policyTypes:
  - Egress
  podSelector: {}
  egress:
  - ports:
    - port: 443
      protocol: TCP
    to:
    - ipBlock:
        cidr: x.x.x.x/32

更新：先尝试Dave McNeill's answer。

如果它对你不起作用（对我起作用了！），以下可能是一个解决方案：

podSelector:
    matchLabels:
      white: listed
  egress:
    - to:
        - ipBlock:
            cidr: 0.0.0.0/0

这将允许访问API服务器-沿着互联网上的所有其他IP地址：-/
您可以将此规则与DENY all non-whitelisted traffic from a namespace规则结合使用，以拒绝所有其他pod的出口。

我们不是在GCP上，但同样应该适用。
我们向AWS查询主节点的CIDR，并将此数据用作为k8s API访问创建NetworkPolicy的Helm图表的值。
在我们的例子中，master是自动伸缩组的一部分，所以我们需要CIDR。在您的例子中，IP可能就足够了。

在helm中使用ciliumnetworkpolicy时遇到了同样的问题。对于任何有类似问题的人，应该可以使用以下方法：

{{- $kubernetesEndpoint := lookup "v1" "Endpoints" "default" "kubernetes" -}}
{{- $kubernetesAddress := (first $kubernetesEndpoint.subsets).addresses -}}
{{- $kubernetesIP := (first $kubernetesAddress).ip -}}
apiVersion: cilium.io/v2
kind: CiliumNetworkPolicy
metadata:
  ...
spec:
  ...
  egress:
    - toCIDRSet:
        - cidr: {{ $kubernetesIP }}/32
    ...