首页
/ Calico项目中网络策略叠加使用时的注意事项

Calico项目中网络策略叠加使用时的注意事项

2025-06-03 21:17:56作者:秋阔奎Evelyn
calico
Cloud native networking and network security
项目地址:https://gitcode.com/gh_mirrors/cal/calico

在Kubernetes集群中使用Calico网络策略时,管理员经常会遇到多种策略叠加生效的场景。本文将通过一个典型案例,深入分析Calico全局网络策略与Kubernetes原生网络策略的交互机制,帮助用户理解策略执行的优先级和叠加原理。

策略叠加的基本原理

Calico作为Kubernetes的CNI插件,支持两种类型的网络策略:

  1. Kubernetes原生NetworkPolicy
  2. Calico扩展的GlobalNetworkPolicy/NetworkPolicy

当这两种策略同时存在时,Calico会按照特定顺序进行处理。关键点在于:

  • 策略评估是顺序执行的
  • 一旦某个策略匹配并允许流量,后续策略将不再评估
  • 默认拒绝规则会阻断所有未明确允许的流量

典型案例分析

假设我们有以下策略组合:

  1. 全局默认拒绝策略
apiVersion: projectcalico.org/v3
kind: GlobalNetworkPolicy
metadata:
  name: default-deny
spec:
  namespaceSelector: name not in {"kube-system"}
  types: [Ingress, Egress]
  1. Kubernetes DNS放行策略
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-dns
spec:
  egress:
  - to:
    - namespaceSelector:
        matchLabels:
          name: kube-system
      podSelector:
        matchLabels:
          k8s-app: kube-dns
  podSelector: {}
  policyTypes: [Ingress, Egress]
  1. 特定IP放行策略
apiVersion: projectcalico.org/v3
kind: GlobalNetworkPolicy
metadata:
  name: allow-specific-ips
spec:
  order: 2000
  types: [Egress]
  egress:
    - action: Allow
      destination:
        nets: ["172.67.191.233/32", "104.21.92.106/32"]
        ports: [443]
      protocol: TCP

问题现象与根因

当仅应用前两个策略时,Pod可以正常进行DNS解析但无法访问外部网络。添加第三个策略后,Pod获得了访问特定IP的能力,但DNS解析却意外失效。

根本原因在于:

  1. 第三个策略没有排除kube-system命名空间
  2. 该策略只允许特定IP的443端口流量
  3. CoreDNS需要访问上游DNS服务器(非443端口)完成递归查询
  4. 由于策略顺序和范围限制,DNS查询流量被阻断

解决方案与最佳实践

  1. 保持策略的完整性:全局策略应考虑所有必要的例外情况
  2. 合理设置order字段:明确控制策略评估顺序
  3. 策略设计原则
    • 先定义例外规则
    • 再定义通用规则
    • 最后设置默认拒绝规则

修正后的策略应包含kube-system例外:

apiVersion: projectcalico.org/v3
kind: GlobalNetworkPolicy
metadata:
  name: allow-specific-ips
spec:
  order: 2000
  namespaceSelector: name not in {"kube-system"}
  types: [Egress]
  egress:
    - action: Allow
      destination:
        notNets: ["10.96.0.0/12"]  # 排除集群内部IP
        nets: ["172.67.191.233/32", "104.21.92.106/32"]
        ports: [443, 53]  # 同时放行DNS端口
      protocol: TCP

总结

Calico网络策略的叠加使用需要特别注意策略的作用范围和评估顺序。管理员应当:

  • 充分理解各策略的评估机制
  • 采用最小权限原则设计策略
  • 通过分段测试验证策略效果
  • 监控网络连接状态,及时发现策略冲突

只有综合考虑这些因素,才能构建出既安全又符合业务需求的网络策略体系。

calico
Cloud native networking and network security
项目地址:https://gitcode.com/gh_mirrors/cal/calico
登录后查看全文
热门项目推荐
相关项目推荐

项目优选

收起
kernelkernel
deepin linux kernel
C
22
6
docsdocs
OpenHarmony documentation | OpenHarmony开发者文档
Dockerfile
161
2.05 K
nop-entropynop-entropy
Nop Platform 2.0是基于可逆计算理论实现的采用面向语言编程范式的新一代低代码开发平台,包含基于全新原理从零开始研发的GraphQL引擎、ORM引擎、工作流引擎、报表引擎、规则引擎、批处理引引擎等完整设计。nop-entropy是它的后端部分,采用java语言实现,可选择集成Spring框架或者Quarkus框架。中小企业可以免费商用
Java
8
0
ohos_react_nativeohos_react_native
React Native鸿蒙化仓库
C++
198
279
ops-mathops-math
本项目是CANN提供的数学类基础计算算子库,实现网络在NPU上加速计算。
C++
535
62
pytorchpytorch
Ascend Extension for PyTorch
Python
50
81
RuoYi-Vue3RuoYi-Vue3
🎉 (RuoYi)官方仓库 基于SpringBoot,Spring Security,JWT,Vue3 & Vite、Element Plus 的前后端分离权限管理系统
Vue
950
556
openHiTLSopenHiTLS
旨在打造算法先进、性能卓越、高效敏捷、安全可靠的密码套件,通过轻量级、可剪裁的软件技术架构满足各行业不同场景的多样化要求,让密码技术应用更简单,同时探索后量子等先进算法创新实践,构建密码前沿技术底座!
C
1 K
397
communitycommunity
本项目是CANN开源社区的核心管理仓库,包含社区的治理章程、治理组织、通用操作指引及流程规范等基础信息
385
19
openGauss-serveropenGauss-server
openGauss kernel ~ openGauss is an open source relational database management system
C++
146
191