Применяются ли сетевые политики к сервису или конечным точкам?

Если у меня есть служба Kubernetes (IP-адрес кластера с портом 12345) с тремя модулями за ней в качестве конечных точек (порт 16789) в пространстве имен, что должно быть занесено в белый список в сетевой политике, только порт службы или порт конечной точки или порт DNS? Сетевая политика может принимать только метки pod/namespace в качестве селекторов, но не метки сервисов. Это не понятно из документации. Попытка получить доступ к службе из другого пространства имен. Окружающая среда использует Calico в качестве CNI.