Calico项目中网络策略叠加使用时的注意事项

2025-06-03 14:29:47作者：秋阔奎Evelyn

在Kubernetes集群中使用Calico网络策略时，管理员经常会遇到多种策略叠加生效的场景。本文将通过一个典型案例，深入分析Calico全局网络策略与Kubernetes原生网络策略的交互机制，帮助用户理解策略执行的优先级和叠加原理。

策略叠加的基本原理

Calico作为Kubernetes的CNI插件，支持两种类型的网络策略：

Kubernetes原生NetworkPolicy
Calico扩展的GlobalNetworkPolicy/NetworkPolicy

当这两种策略同时存在时，Calico会按照特定顺序进行处理。关键点在于：

策略评估是顺序执行的
一旦某个策略匹配并允许流量，后续策略将不再评估
默认拒绝规则会阻断所有未明确允许的流量

典型案例分析

假设我们有以下策略组合：

全局默认拒绝策略

apiVersion: projectcalico.org/v3
kind: GlobalNetworkPolicy
metadata:
  name: default-deny
spec:
  namespaceSelector: name not in {"kube-system"}
  types: [Ingress, Egress]

Kubernetes DNS放行策略

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-dns
spec:
  egress:
  - to:
    - namespaceSelector:
        matchLabels:
          name: kube-system
      podSelector:
        matchLabels:
          k8s-app: kube-dns
  podSelector: {}
  policyTypes: [Ingress, Egress]

特定IP放行策略

apiVersion: projectcalico.org/v3
kind: GlobalNetworkPolicy
metadata:
  name: allow-specific-ips
spec:
  order: 2000
  types: [Egress]
  egress:
    - action: Allow
      destination:
        nets: ["172.67.191.233/32", "104.21.92.106/32"]
        ports: [443]
      protocol: TCP

问题现象与根因

当仅应用前两个策略时，Pod可以正常进行DNS解析但无法访问外部网络。添加第三个策略后，Pod获得了访问特定IP的能力，但DNS解析却意外失效。

根本原因在于：

第三个策略没有排除kube-system命名空间
该策略只允许特定IP的443端口流量
CoreDNS需要访问上游DNS服务器(非443端口)完成递归查询
由于策略顺序和范围限制，DNS查询流量被阻断

解决方案与最佳实践

保持策略的完整性：全局策略应考虑所有必要的例外情况
合理设置order字段：明确控制策略评估顺序
策略设计原则：
- 先定义例外规则
- 再定义通用规则
- 最后设置默认拒绝规则

修正后的策略应包含kube-system例外：

apiVersion: projectcalico.org/v3
kind: GlobalNetworkPolicy
metadata:
  name: allow-specific-ips
spec:
  order: 2000
  namespaceSelector: name not in {"kube-system"}
  types: [Egress]
  egress:
    - action: Allow
      destination:
        notNets: ["10.96.0.0/12"]  # 排除集群内部IP
        nets: ["172.67.191.233/32", "104.21.92.106/32"]
        ports: [443, 53]  # 同时放行DNS端口
      protocol: TCP