Calico项目中网络策略叠加使用时的注意事项
2025-06-03 00:02:10作者:秋阔奎Evelyn
在Kubernetes集群中使用Calico网络策略时,管理员经常会遇到多种策略叠加生效的场景。本文将通过一个典型案例,深入分析Calico全局网络策略与Kubernetes原生网络策略的交互机制,帮助用户理解策略执行的优先级和叠加原理。
策略叠加的基本原理
Calico作为Kubernetes的CNI插件,支持两种类型的网络策略:
- Kubernetes原生NetworkPolicy
- Calico扩展的GlobalNetworkPolicy/NetworkPolicy
当这两种策略同时存在时,Calico会按照特定顺序进行处理。关键点在于:
- 策略评估是顺序执行的
- 一旦某个策略匹配并允许流量,后续策略将不再评估
- 默认拒绝规则会阻断所有未明确允许的流量
典型案例分析
假设我们有以下策略组合:
- 全局默认拒绝策略
apiVersion: projectcalico.org/v3
kind: GlobalNetworkPolicy
metadata:
name: default-deny
spec:
namespaceSelector: name not in {"kube-system"}
types: [Ingress, Egress]
- Kubernetes DNS放行策略
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: allow-dns
spec:
egress:
- to:
- namespaceSelector:
matchLabels:
name: kube-system
podSelector:
matchLabels:
k8s-app: kube-dns
podSelector: {}
policyTypes: [Ingress, Egress]
- 特定IP放行策略
apiVersion: projectcalico.org/v3
kind: GlobalNetworkPolicy
metadata:
name: allow-specific-ips
spec:
order: 2000
types: [Egress]
egress:
- action: Allow
destination:
nets: ["172.67.191.233/32", "104.21.92.106/32"]
ports: [443]
protocol: TCP
问题现象与根因
当仅应用前两个策略时,Pod可以正常进行DNS解析但无法访问外部网络。添加第三个策略后,Pod获得了访问特定IP的能力,但DNS解析却意外失效。
根本原因在于:
- 第三个策略没有排除kube-system命名空间
- 该策略只允许特定IP的443端口流量
- CoreDNS需要访问上游DNS服务器(非443端口)完成递归查询
- 由于策略顺序和范围限制,DNS查询流量被阻断
解决方案与最佳实践
- 保持策略的完整性:全局策略应考虑所有必要的例外情况
- 合理设置order字段:明确控制策略评估顺序
- 策略设计原则:
- 先定义例外规则
- 再定义通用规则
- 最后设置默认拒绝规则
修正后的策略应包含kube-system例外:
apiVersion: projectcalico.org/v3
kind: GlobalNetworkPolicy
metadata:
name: allow-specific-ips
spec:
order: 2000
namespaceSelector: name not in {"kube-system"}
types: [Egress]
egress:
- action: Allow
destination:
notNets: ["10.96.0.0/12"] # 排除集群内部IP
nets: ["172.67.191.233/32", "104.21.92.106/32"]
ports: [443, 53] # 同时放行DNS端口
protocol: TCP
总结
Calico网络策略的叠加使用需要特别注意策略的作用范围和评估顺序。管理员应当:
- 充分理解各策略的评估机制
- 采用最小权限原则设计策略
- 通过分段测试验证策略效果
- 监控网络连接状态,及时发现策略冲突
只有综合考虑这些因素,才能构建出既安全又符合业务需求的网络策略体系。
登录后查看全文
热门项目推荐
相关项目推荐
Kimi-K2.5Kimi K2.5 是一款开源的原生多模态智能体模型,它在 Kimi-K2-Base 的基础上,通过对约 15 万亿混合视觉和文本 tokens 进行持续预训练构建而成。该模型将视觉与语言理解、高级智能体能力、即时模式与思考模式,以及对话式与智能体范式无缝融合。Python00- QQwen3-Coder-Next2026年2月4日,正式发布的Qwen3-Coder-Next,一款专为编码智能体和本地开发场景设计的开源语言模型。Python00
xw-cli实现国产算力大模型零门槛部署,一键跑通 Qwen、GLM-4.7、Minimax-2.1、DeepSeek-OCR 等模型Go06
PaddleOCR-VL-1.5PaddleOCR-VL-1.5 是 PaddleOCR-VL 的新一代进阶模型,在 OmniDocBench v1.5 上实现了 94.5% 的全新 state-of-the-art 准确率。 为了严格评估模型在真实物理畸变下的鲁棒性——包括扫描伪影、倾斜、扭曲、屏幕拍摄和光照变化——我们提出了 Real5-OmniDocBench 基准测试集。实验结果表明,该增强模型在新构建的基准测试集上达到了 SOTA 性能。此外,我们通过整合印章识别和文本检测识别(text spotting)任务扩展了模型的能力,同时保持 0.9B 的超紧凑 VLM 规模,具备高效率特性。Python00
KuiklyUI基于KMP技术的高性能、全平台开发框架,具备统一代码库、极致易用性和动态灵活性。 Provide a high-performance, full-platform development framework with unified codebase, ultimate ease of use, and dynamic flexibility. 注意:本仓库为Github仓库镜像,PR或Issue请移步至Github发起,感谢支持!Kotlin08
VLOOKVLOOK™ 是优雅好用的 Typora/Markdown 主题包和增强插件。 VLOOK™ is an elegant and practical THEME PACKAGE × ENHANCEMENT PLUGIN for Typora/Markdown.Less00
项目优选
收起
kerneldeepin linux kernel
C
27
11
docsOpenHarmony documentation | OpenHarmony开发者文档
Dockerfile
533
3.75 K
nop-entropyNop Platform 2.0是基于可逆计算理论实现的采用面向语言编程范式的新一代低代码开发平台,包含基于全新原理从零开始研发的GraphQL引擎、ORM引擎、工作流引擎、报表引擎、规则引擎、批处理引引擎等完整设计。nop-entropy是它的后端部分,采用java语言实现,可选择集成Spring框架或者Quarkus框架。中小企业可以免费商用
Java
12
1
leetcode🔥LeetCode solutions in any programming language | 多种编程语言实现 LeetCode、《剑指 Offer(第 2 版)》、《程序员面试金典(第 6 版)》题解
Java
67
20
flutter_flutter暂无简介
Dart
773
191
pytorchAscend Extension for PyTorch
Python
342
406
ops-math本项目是CANN提供的数学类基础计算算子库,实现网络在NPU上加速计算。
C++
886
596
gitea喝着茶写代码!最易用的自托管一站式代码托管平台,包含Git托管,代码审查,团队协作,软件包和CI/CD。
Go
23
0
ohos_react_nativeReact Native鸿蒙化仓库
JavaScript
303
355
kernelopenEuler内核是openEuler操作系统的核心,既是系统性能与稳定性的基石,也是连接处理器、设备与服务的桥梁。
C
336
178