首页
/ Calico项目中网络策略叠加使用时的注意事项

Calico项目中网络策略叠加使用时的注意事项

2025-06-03 00:02:10作者:秋阔奎Evelyn
calico
Cloud native networking and network security
项目地址:https://gitcode.com/gh_mirrors/cal/calico

在Kubernetes集群中使用Calico网络策略时,管理员经常会遇到多种策略叠加生效的场景。本文将通过一个典型案例,深入分析Calico全局网络策略与Kubernetes原生网络策略的交互机制,帮助用户理解策略执行的优先级和叠加原理。

策略叠加的基本原理

Calico作为Kubernetes的CNI插件,支持两种类型的网络策略:

  1. Kubernetes原生NetworkPolicy
  2. Calico扩展的GlobalNetworkPolicy/NetworkPolicy

当这两种策略同时存在时,Calico会按照特定顺序进行处理。关键点在于:

  • 策略评估是顺序执行的
  • 一旦某个策略匹配并允许流量,后续策略将不再评估
  • 默认拒绝规则会阻断所有未明确允许的流量

典型案例分析

假设我们有以下策略组合:

  1. 全局默认拒绝策略
apiVersion: projectcalico.org/v3
kind: GlobalNetworkPolicy
metadata:
  name: default-deny
spec:
  namespaceSelector: name not in {"kube-system"}
  types: [Ingress, Egress]
  1. Kubernetes DNS放行策略
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-dns
spec:
  egress:
  - to:
    - namespaceSelector:
        matchLabels:
          name: kube-system
      podSelector:
        matchLabels:
          k8s-app: kube-dns
  podSelector: {}
  policyTypes: [Ingress, Egress]
  1. 特定IP放行策略
apiVersion: projectcalico.org/v3
kind: GlobalNetworkPolicy
metadata:
  name: allow-specific-ips
spec:
  order: 2000
  types: [Egress]
  egress:
    - action: Allow
      destination:
        nets: ["172.67.191.233/32", "104.21.92.106/32"]
        ports: [443]
      protocol: TCP

问题现象与根因

当仅应用前两个策略时,Pod可以正常进行DNS解析但无法访问外部网络。添加第三个策略后,Pod获得了访问特定IP的能力,但DNS解析却意外失效。

根本原因在于:

  1. 第三个策略没有排除kube-system命名空间
  2. 该策略只允许特定IP的443端口流量
  3. CoreDNS需要访问上游DNS服务器(非443端口)完成递归查询
  4. 由于策略顺序和范围限制,DNS查询流量被阻断

解决方案与最佳实践

  1. 保持策略的完整性:全局策略应考虑所有必要的例外情况
  2. 合理设置order字段:明确控制策略评估顺序
  3. 策略设计原则
    • 先定义例外规则
    • 再定义通用规则
    • 最后设置默认拒绝规则

修正后的策略应包含kube-system例外:

apiVersion: projectcalico.org/v3
kind: GlobalNetworkPolicy
metadata:
  name: allow-specific-ips
spec:
  order: 2000
  namespaceSelector: name not in {"kube-system"}
  types: [Egress]
  egress:
    - action: Allow
      destination:
        notNets: ["10.96.0.0/12"]  # 排除集群内部IP
        nets: ["172.67.191.233/32", "104.21.92.106/32"]
        ports: [443, 53]  # 同时放行DNS端口
      protocol: TCP

总结

Calico网络策略的叠加使用需要特别注意策略的作用范围和评估顺序。管理员应当:

  • 充分理解各策略的评估机制
  • 采用最小权限原则设计策略
  • 通过分段测试验证策略效果
  • 监控网络连接状态,及时发现策略冲突

只有综合考虑这些因素,才能构建出既安全又符合业务需求的网络策略体系。

calico
Cloud native networking and network security
项目地址:https://gitcode.com/gh_mirrors/cal/calico
登录后查看全文

相关内容推荐

1 ProjectCalico中多GlobalNetworkPolicy策略叠加问题的深度解析2 Antrea项目中NodePortLocal功能的独立部署方案解析3 RKE2项目更新Calico和Canal网络插件至v3.29.2版本的技术解析4 Project Calico 常见问题解决方案5 Project Calico v3.28.4版本深度解析与升级指南6 RKE2项目中Calico和Canal网络插件升级至v3.29.2版本的技术解析7 【亲测免费】 探索网络边界:Calico v3.19.4 开源网络方案深度解析与实践指南8 Calico项目BPF数据平面中端点策略应用失败问题深度解析9 Calico网络方案中实现跨子网Pod通信与外部流量路由的技术实践10 Kubespray 升级至 v2.25.0 后 Calico v3.27.3 的 CPU 使用率异常问题分析
热门项目推荐
相关项目推荐

热门内容推荐

1 build-your-own-x 探索指南:从零构建编程技能体系2 技术实践新范式:build-your-own-x项目的系统构建与能力跃迁指南3 build-your-own-x 开源学习项目一站式指南4 【亲测免费】 开源项目 `build-your-own-x` 使用指南5 【亲测免费】 探索科技之旅:《Build Your Own X》项目详解6 GitHub_Trending/bu/build-your-own-x自动化:CI/CD流程在自制项目中的应用7 从零打造智能家居系统:用build-your-own-x实现家庭自动化

项目优选

收起
kernelkernel
deepin linux kernel
C
27
14
docsdocs
OpenHarmony documentation | OpenHarmony开发者文档
Dockerfile
659
4.26 K
RuoYi-Vue3RuoYi-Vue3
🎉 (RuoYi)官方仓库 基于SpringBoot,Spring Security,JWT,Vue3 & Vite、Element Plus 的前后端分离权限管理系统
Vue
1.54 K
894
pytorchpytorch
Ascend Extension for PyTorch
Python
503
609
kernelkernel
openEuler内核是openEuler操作系统的核心,既是系统性能与稳定性的基石,也是连接处理器、设备与服务的桥梁。
C
391
285
flutter_flutterflutter_flutter
暂无简介
Dart
905
218
leetcodeleetcode
🔥LeetCode solutions in any programming language | 多种编程语言实现 LeetCode、《剑指 Offer(第 2 版)》、《程序员面试金典(第 6 版)》题解
Java
69
21
MindSpeed-LLMMindSpeed-LLM
昇腾LLM分布式训练框架
Python
142
168
ops-mathops-math
本项目是CANN提供的数学类基础计算算子库,实现网络在NPU上加速计算。
C++
939
862
cherry-studiocherry-studio
🍒 Cherry Studio 是一款支持多个 LLM 提供商的桌面客户端
TypeScript
1.33 K
108