首页
/ Calico项目中网络策略叠加使用时的注意事项

Calico项目中网络策略叠加使用时的注意事项

2025-06-03 00:02:10作者:秋阔奎Evelyn
calico
Cloud native networking and network security
项目地址:https://gitcode.com/gh_mirrors/cal/calico

在Kubernetes集群中使用Calico网络策略时,管理员经常会遇到多种策略叠加生效的场景。本文将通过一个典型案例,深入分析Calico全局网络策略与Kubernetes原生网络策略的交互机制,帮助用户理解策略执行的优先级和叠加原理。

策略叠加的基本原理

Calico作为Kubernetes的CNI插件,支持两种类型的网络策略:

  1. Kubernetes原生NetworkPolicy
  2. Calico扩展的GlobalNetworkPolicy/NetworkPolicy

当这两种策略同时存在时,Calico会按照特定顺序进行处理。关键点在于:

  • 策略评估是顺序执行的
  • 一旦某个策略匹配并允许流量,后续策略将不再评估
  • 默认拒绝规则会阻断所有未明确允许的流量

典型案例分析

假设我们有以下策略组合:

  1. 全局默认拒绝策略
apiVersion: projectcalico.org/v3
kind: GlobalNetworkPolicy
metadata:
  name: default-deny
spec:
  namespaceSelector: name not in {"kube-system"}
  types: [Ingress, Egress]
  1. Kubernetes DNS放行策略
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-dns
spec:
  egress:
  - to:
    - namespaceSelector:
        matchLabels:
          name: kube-system
      podSelector:
        matchLabels:
          k8s-app: kube-dns
  podSelector: {}
  policyTypes: [Ingress, Egress]
  1. 特定IP放行策略
apiVersion: projectcalico.org/v3
kind: GlobalNetworkPolicy
metadata:
  name: allow-specific-ips
spec:
  order: 2000
  types: [Egress]
  egress:
    - action: Allow
      destination:
        nets: ["172.67.191.233/32", "104.21.92.106/32"]
        ports: [443]
      protocol: TCP

问题现象与根因

当仅应用前两个策略时,Pod可以正常进行DNS解析但无法访问外部网络。添加第三个策略后,Pod获得了访问特定IP的能力,但DNS解析却意外失效。

根本原因在于:

  1. 第三个策略没有排除kube-system命名空间
  2. 该策略只允许特定IP的443端口流量
  3. CoreDNS需要访问上游DNS服务器(非443端口)完成递归查询
  4. 由于策略顺序和范围限制,DNS查询流量被阻断

解决方案与最佳实践

  1. 保持策略的完整性:全局策略应考虑所有必要的例外情况
  2. 合理设置order字段:明确控制策略评估顺序
  3. 策略设计原则
    • 先定义例外规则
    • 再定义通用规则
    • 最后设置默认拒绝规则

修正后的策略应包含kube-system例外:

apiVersion: projectcalico.org/v3
kind: GlobalNetworkPolicy
metadata:
  name: allow-specific-ips
spec:
  order: 2000
  namespaceSelector: name not in {"kube-system"}
  types: [Egress]
  egress:
    - action: Allow
      destination:
        notNets: ["10.96.0.0/12"]  # 排除集群内部IP
        nets: ["172.67.191.233/32", "104.21.92.106/32"]
        ports: [443, 53]  # 同时放行DNS端口
      protocol: TCP

总结

Calico网络策略的叠加使用需要特别注意策略的作用范围和评估顺序。管理员应当:

  • 充分理解各策略的评估机制
  • 采用最小权限原则设计策略
  • 通过分段测试验证策略效果
  • 监控网络连接状态,及时发现策略冲突

只有综合考虑这些因素,才能构建出既安全又符合业务需求的网络策略体系。

calico
Cloud native networking and network security
项目地址:https://gitcode.com/gh_mirrors/cal/calico
登录后查看全文
热门项目推荐
相关项目推荐

项目优选

收起
docsdocs
暂无描述
Dockerfile
733
4.75 K
kernelkernel
deepin linux kernel
C
31
16
pytorchpytorch
Ascend Extension for PyTorch
Python
651
797
atomcodeatomcode
Claude Code 的开源替代方案。连接任意大模型,编辑代码,运行命令,自动验证 — 全自动执行。用 Rust 构建,极致性能。 | An open-source alternative to Claude Code. Connect any LLM, edit code, run commands, and verify changes — autonomously. Built in Rust for speed. Get Started
Rust
1.25 K
153
openHiTLSopenHiTLS
旨在打造算法先进、性能卓越、高效敏捷、安全可靠的密码套件,通过轻量级、可剪裁的软件技术架构满足各行业不同场景的多样化要求,让密码技术应用更简单,同时探索后量子等先进算法创新实践,构建密码前沿技术底座!
C
1.1 K
611
ops-mathops-math
本项目是CANN提供的数学类基础计算算子库,实现网络在NPU上加速计算。
C++
1.01 K
1.01 K
MindSpeed-MMMindSpeed-MM
华为昇腾面向大规模分布式训练的多模态大模型套件,支撑多模态生成、多模态理解。
Python
147
237
MindSpeed-LLMMindSpeed-LLM
昇腾LLM分布式训练框架
Python
168
200
kernelkernel
openEuler内核是openEuler操作系统的核心,既是系统性能与稳定性的基石,也是连接处理器、设备与服务的桥梁。
C
434
395
flutter_flutterflutter_flutter
暂无简介
Dart
986
253