Calico项目中网络策略叠加使用时的注意事项

在Kubernetes集群中使用Calico网络策略时，管理员经常会遇到多种策略叠加生效的场景。本文将通过一个典型案例，深入分析Calico全局网络策略与Kubernetes原生网络策略的交互机制，帮助用户理解策略执行的优先级和叠加原理。

策略叠加的基本原理

Calico作为Kubernetes的CNI插件，支持两种类型的网络策略：

1. Kubernetes原生NetworkPolicy
2. Calico扩展的GlobalNetworkPolicy/NetworkPolicy

当这两种策略同时存在时，Calico会按照特定顺序进行处理。关键点在于：

• 策略评估是顺序执行的
• 一旦某个策略匹配并允许流量，后续策略将不再评估
• 默认拒绝规则会阻断所有未明确允许的流量

典型案例分析

假设我们有以下策略组合：

1. 全局默认拒绝策略

apiVersion: projectcalico.org/v3
kind: GlobalNetworkPolicy
metadata:
  name: default-deny
spec:
  namespaceSelector: name not in {"kube-system"}
  types: [Ingress, Egress]

2. Kubernetes DNS放行策略

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-dns
spec:
  egress:
  - to:
    - namespaceSelector:
        matchLabels:
          name: kube-system
      podSelector:
        matchLabels:
          k8s-app: kube-dns
  podSelector: {}
  policyTypes: [Ingress, Egress]

3. 特定IP放行策略

apiVersion: projectcalico.org/v3
kind: GlobalNetworkPolicy
metadata:
  name: allow-specific-ips
spec:
  order: 2000
  types: [Egress]
  egress:
    - action: Allow
      destination:
        nets: ["172.67.191.233/32", "104.21.92.106/32"]
        ports: [443]
      protocol: TCP

问题现象与根因

当仅应用前两个策略时，Pod可以正常进行DNS解析但无法访问外部网络。添加第三个策略后，Pod获得了访问特定IP的能力，但DNS解析却意外失效。

根本原因在于：

1. 第三个策略没有排除kube-system命名空间
2. 该策略只允许特定IP的443端口流量
3. CoreDNS需要访问上游DNS服务器(非443端口)完成递归查询
4. 由于策略顺序和范围限制，DNS查询流量被阻断

解决方案与最佳实践

1. 保持策略的完整性：全局策略应考虑所有必要的例外情况
2. 合理设置order字段：明确控制策略评估顺序
3. 策略设计原则：
   • 先定义例外规则
   • 再定义通用规则
   • 最后设置默认拒绝规则

修正后的策略应包含kube-system例外：

apiVersion: projectcalico.org/v3
kind: GlobalNetworkPolicy
metadata:
  name: allow-specific-ips
spec:
  order: 2000
  namespaceSelector: name not in {"kube-system"}
  types: [Egress]
  egress:
    - action: Allow
      destination:
        notNets: ["10.96.0.0/12"]  # 排除集群内部IP
        nets: ["172.67.191.233/32", "104.21.92.106/32"]
        ports: [443, 53]  # 同时放行DNS端口
      protocol: TCP

总结

Calico网络策略的叠加使用需要特别注意策略的作用范围和评估顺序。管理员应当：

• 充分理解各策略的评估机制
• 采用最小权限原则设计策略
• 通过分段测试验证策略效果
• 监控网络连接状态，及时发现策略冲突

只有综合考虑这些因素，才能构建出既安全又符合业务需求的网络策略体系。