k8s资源之NetworkPolicy

最新推荐文章于 2025-10-15 14:34:24 发布
原创 最新推荐文章于 2025-10-15 14:34:24 发布 · 543 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#云原生

 欢迎关注我的公众号:

 目前刚开始写一个月,一共写了18篇原创文章,文章目录如下:

istio多集群探秘,部署了50次多集群后我得出的结论

istio多集群链路追踪,附实操视频

istio防故障利器,你知道几个,istio新手不要读,太难!

istio业务权限控制,原来可以这么玩

istio实现非侵入压缩,微服务之间如何实现压缩

不懂envoyfilter也敢说精通istio系列-http-rbac-不要只会用AuthorizationPolicy配置权限

不懂envoyfilter也敢说精通istio系列-02-http-corsFilter-不要只会vs

不懂envoyfilter也敢说精通istio系列-03-http-csrf filter-再也不用再代码里写csrf逻辑了

不懂envoyfilter也敢说精通istio系列http-jwt_authn-不要只会RequestAuthorization

不懂envoyfilter也敢说精通istio系列-05-fault-filter-故障注入不止是vs

不懂envoyfilter也敢说精通istio系列-06-http-match-配置路由不只是vs

不懂envoyfilter也敢说精通istio系列-07-负载均衡配置不止是dr

不懂envoyfilter也敢说精通istio系列-08-连接池和断路器

不懂envoyfilter也敢说精通istio系列-09-http-route filter

不懂envoyfilter也敢说精通istio系列-network filter-redis proxy

不懂envoyfilter也敢说精通istio系列-network filter-HttpConnectionManager

不懂envoyfilter也敢说精通istio系列-ratelimit-istio ratelimit完全手册

 

————————————————

NetworkPolicy:

使用network policy资源可以配置pod的网络,networkPolicynamespace scoped的,也就是作用域只是在某个namespace,它只能影响某个namespace下的pod的网络出入站规则

不是所有的 Kubernetes 网络方案都支持 Network Policy。比如 Flannel 就不支持

ingress:

deny all:

[root@master01 networkPolicy]# cat default-deny-ingress.yaml 
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: default-deny
spec:
  podSelector: {}
  policyTypes:
  - Ingress

allow all:

[root@master01 networkPolicy]# cat allow-all-ingress.yaml 
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-all
spec:
  podSelector: {}
  ingress:
  - {}

namespaceSelector:

[root@master01 networkPolicy]# cat namespace-access-ingress.yaml 
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: test-network-policy
  namespace: default
spec:
  podSelector:
    matchLabels:
      app: nginx
  policyTypes:
  - Ingress
  ingress:
  - from:
    - namespaceSelector:
        matchLabels:
          project: dev
    ports:
    - protocol: TCP
      port: 80

podSelector:

[root@master01 networkPolicy]# cat podSelector-ingerss.yaml 
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: test-network-policy
  namespace: default
spec:
  podSelector:
    matchLabels:
      app: nginx
  policyTypes:
  - Ingress
  - Egress
  ingress:
  - from:
    - podSelector:
        matchLabels:
          app: busybox
    ports:
    - protocol: TCP
      port: 80

ipBlock:

[root@master01 networkPolicy]# cat ip-ingerss.yaml 
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: test-network-policy
  namespace: default
spec:
  podSelector:
    matchLabels:
      app: nginx
  policyTypes:
  - Ingress
  - Egress
  ingress:
  - from:
    - ipBlock:
        cidr: 172.20.59.192/32

整合:

[root@master01 networkPolicy]# cat namespace-podSelector-ingress.yaml 
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: test-network-policy
spec:
  podSelector:
    matchLabels:
      app: nginx
  policyTypes:
  - Ingress
  ingress:
  - from:
    - namespaceSelector:
        matchLabels:
          project: dev
    - podSelector:
        matchLabels:
          app: busybox
    ports:
    - protocol: TCP
      port: 80
[root@master01 networkPolicy]# cat namespace-podSelector-ip-ingress.yaml 
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: test-network-policy
spec:
  podSelector:
    matchLabels:
      app: nginx
  policyTypes:
  - Ingress
  ingress:
  - from:
    - ipBlock:
        cidr: 172.20.0.0/16
        except:
        - 172.20.58.195/32
    - namespaceSelector:
        matchLabels:
          project: dev
    - podSelector:
        matchLabels:
          app: busybox
    ports:
    - protocol: TCP
      port: 80

egress:

default deny:

[root@master01 networkPolicy]# cat default-deny-egress.yaml 
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
 name: default-deny
spec:
 podSelector: {}
 policyTypes:
 - Egress

allow all:

[root@master01 networkPolicy]# cat allow-all-egress.yaml 
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
 name: allow-all
spec:
 podSelector: {}
 egress:
 - {}
 policyTypes:
 - Egress

namespaceSelector:

[root@master01 networkPolicy]# cat namespace-egress.yaml 
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: test-network-policy
spec:
  podSelector:
    matchLabels:
      app: busybox
  policyTypes:
  - Egress
  egress:
  - to:
    - namespaceSelector:
        matchLabels:
          project: dev
    ports:
    - protocol: TCP
      port: 80

podSelector:

[root@master01 networkPolicy]# cat podSelector-egerss.yaml 
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: test-network-policy
spec:
  podSelector:
    matchLabels:
      app: busybox
  policyTypes:
  - Egress
  egress:
  - to:
    - podSelector:
        matchLabels:
          app: nginx
    ports:
    - protocol: TCP
      port: 80

ipBlock:

[root@master01 networkPolicy]# cat ip-egress.yaml 
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: test-network-policy
spec:
  podSelector:
    matchLabels:
      app: busybox
  policyTypes:
  - Egress
  egress:
  - to:
    - ipBlock:
        cidr: 172.20.59.192/32

整合:

[root@master01 networkPolicy]# cat namespace-podSelector-egress.yaml 
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: test-network-policy
spec:
  podSelector:
    matchLabels:
      app: busybox
  policyTypes:
  - Egress
  egress:
  - to :
    - namespaceSelector:
        matchLabels:
          project: dev
    - podSelector:
        matchLabels:
          app: nginx
    ports:
    - protocol: TCP
      port: 80
[root@master01 networkPolicy]# cat namespace-podSelector-ip-egress.yaml 
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: test-network-policy
spec:
  podSelector:
    matchLabels:
      app: busybox
  policyTypes:
  - Egress
  egress:
  - to:
    - ipBlock:
        cidr: 172.20.0.0/16
        except:
        - 172.20.58.195/32
    - namespaceSelector:
        matchLabels:
          project: dev
    - podSelector:
        matchLabels:
          app: nginx
    ports:
    - protocol: TCP
      port: 80

ingerss egress 完整例子:

[root@master01 networkPolicy]# cat ingress-egress.yaml 
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: test-network-policy
spec:
  podSelector:
    matchLabels:
      app: nginx
  policyTypes:
  - Ingress
  - Egress
  ingress:
  - from:
    - ipBlock:
        cidr: 172.20.0.0/16
        except:
        - 172.20.58.195/32
    - namespaceSelector:
        matchLabels:
          project: dev
    - podSelector:
        matchLabels:
          app: busybox
    ports:
    - protocol: TCP
      port: 80
  egress:
  - to:
    - ipBlock:
        cidr: 172.20.0.0/16
        except:
        - 172.20.58.195/32
    - namespaceSelector:
        matchLabels:
          project: dev
    - podSelector:
        matchLabels:
          app: nginx
    ports:
    - protocol: TCP
      port: 80

k8s NetworkPolicy配置
weixin_40548182的博客
06-10 394
说明:该规则允许labels为app: nginx-test2的pod访问集群内的其他pod。
K8S系列】8-K8s实战-玩转Network
Java架狗师知识框架速查表
06-20 1834
Network Docker容器之间访问 通过docker0 网卡实现相同网段进行通信 6.1 同一个Pod中的容器通信-pause container 接下来就要说到跟Kubernetes网络通信相关的内容咯 我们都知道K8S最小的操作单位是Pod,先思考一下同一个Pod中多个容器要进行通信 由官网的这段话可以看出,同一个pod中的容器是共享网络ip地址和端口号的,通信显然没问题 Each Pod is assigned a unique IP address. Every container i
【Kubernetes】K8s 集群 NetworkPolicy 策略
最新发布
mm1234556的博客
10-15 738
没有 Network Policy 的 Kubernetes 集群,就像没有门禁的数据中心——任何人都可以自由出入。
k8s-使用Network Policies实现网络隔离
dsgdauigfs的博客
08-29 1670
本字段可以看作是一个开关,如果其中包含Ingress,则Ingress部分定义的规则生效,如果是Egress则Egress部分定义的规则生效,如果都包含则全部生效。实际应用中某些命名空间中的pod可能和其他命名空间中的pod有调用关系,还可能用到一些系统命名空间中的服务(如DNS服务),所以不能将某个命名空间完全和其他所有命名空间隔离,只需要将确定没有业务调用的命名空间隔离。策略描述:更新第5步sub2中创建的策略,使sub2中的pod除了不能和sub3中的pod通信外,和其他所有地址都可通信。
k8s-配置网络策略 NetworkPolicy
u010674101的专栏
10-14 1379
提供了一种方式来控制 Kubernetes 集群中 Pod 之间的网络流量,类似于防火墙规则。通过选择合适的ingress和egress规则,可以实现精细的流量控制。需要网络插件的支持才能生效,并且默认行为是一旦有 NetworkPolicy,则会阻止未允许的流量。
k8s安全05--配置网络策略 NetworkPolicy
脚步不能达到的地方,眼光可以达到;眼光不能达到的地方,精神可以飞到
11-17 1783
k8s安全05--配置网络策略1 介绍2 案例2.1 案例11.1 创建 ns 和 pod1.2 查看pod,svc 信息1.3 测试网络联通性1.4 在集群外部通过NodePort 访问服务1.5 创建网络策略,prod-a 拒绝任何访问1.6 测试网络策略1.7 创建网络策略, 允许标签为 app: front 的pod 访问1.8 测试网络策略2.2 案例22.1 创建ns 和 pod2.2 创建网络策略2.3 测试网络策略3 注意事项3.1 常见Selector功能区别4 说明 1 介绍 2 案例
k8s中的NetworkPolicy
lrzaiwlh的博客
09-25 1331
在 Kubernetes (k8s) 中,是一种用于控制 Pod 之间网络流量的资源对象,它基于 Pod 标签(Labels)和命名空间(namespace)来定义网络访问规则,实现了对 Pod 进出流量的精细化控制。
K8SNetworkPolicy使用教程
平庸
08-05 986
Kubernetes NetworkPolicy概述 NetworkPolicy是Kubernetes中控制Pod间网络流量的资源对象,类似于集群内部的防火墙规则。需要注意的是: 需要支持NetworkPolicy的CNI插件(如Calico、Cilium等) 是命名空间级别的资源,无法跨命名空间使用 默认行为: 未被匹配的Pod允许所有流量 被匹配的Pod仅允许规则明确的流量 规则逻辑类似防火墙,未配置则无限制,一旦配置则严格匹配 NetworkPolicy通过标签选择器(PodSelector/Name
K8S - NetworkPolicy的使用
u013227473的博客
08-22 1127
policyTypes 字段表示给定的策略是应用于进入所选 Pod 的入站流量还是来自所选 Pod 的出站流量,或两者兼有。apiVersion : 必须字段,不同版本可能group和version有所差别,通过explain命令可以查看当前k8s版本支持的apiVersion,如下图所示,我的k8s版本是1.28,所以他的networkpolicy 接口的apiVersion应该是 networking.k8s.io/v1。空的 podSelector 选择名字空间下的所有 Pod。
k8s--NetworkPolicy资源对象
weixin_60047971的博客
08-21 893
在Kubernetes中,NetworkPolicy是一项关键功能,它允许开发者定义和控制Pod之间的网络通信。本文将深入研究Kubernetes中的NetworkPolicy,详细介绍其原理、用途,并通过实际示例演示如何使用NetworkPolicy来确保集群中的网络安全。NetworkPolicy是Kubernetes中用于定义Pod之间网络通信规则的资源对象。通过NetworkPolicy,开发者可以控制哪些Pod可以与另外哪些Pod通信,以及使用何种方式进行通信。
K8S网络相关-NetworkPolicy解读
sozee910的博客
09-07 706
NetworkPolicy 是 Kubernetes 中用于控制 Pod 之间或 Pod 与外部资源之间网络流量的一种资源对象。它允许用户定义规则,限制或允许网络访问。通过 NetworkPolicy,你可以精细化地控制 Kubernetes 集群内部的网络流量,例如只允许特定的 Pod 或 IP 地址访问某些 Pod。
K8s 中如何配置网络策略(NetworkPolicy)?
wamp0001的博客
07-21 1153
初始化 Kubernetes 集群时,需指定 Pod 网络 CIDR,并确保 CNI 插件已正确安装。是实现 Pod 之间网络隔离和访问控制的关键手段。以下是详细的配置步骤和示例,帮助你快速上手。同一命名空间下的多个 NetworkPolicy 会叠加生效,最终效果是所有策略的交集。如果需要更复杂的场景(如动态策略更新、可视化监控),可结合。在 Kubernetes 中配置。以下是一个简单的示例,允许。
k8s学习-网络策略NetworkPolicy(概念、模版、创建、删除等)
关注网络安全、云原生安全
09-11 3246
3.(Egress 规则)允许 “default” 命名空间中任何带有标签 “role=db” 的 Pod 到 CIDR 10.0.0.0/24 下 5978 TCP 端口的连接。k8s的命名空间是没有强制隔离性的,访问service时加上.namespace的名称即可。:此选择器将选择特定的名字空间,应将所有 Pod 用作其入站流量来源或出站流量目的地。k8s的Pod是没有隔离行的,任意命名空间下的Pod可以访问任意命名空间下的Pod。的 to/from 条目选择特定名字空间中的特定 Pod。
【转载】K8S 网络模型总览
叮当猫的喵i
08-18 764
底层网络顾名思义是指网络设备基础设施,如交换机,路由器,DWDM使用网络介质将其链接成的物理网络拓扑,负责网络之间的数据包传输。​ 图:Underlay network topology可以是二层,也可以是三层;二层的典型例子是以太网Ethernet,三层是的典型例子是互联网Internet。而工作与二层的技术是vlan,工作在三层的技术是由OSPF,BGP等协议组成叠加网络是使用网络虚拟化技术,在underlay。...
一起来学k8s 19.NetworkPolicy
隔壁小翔
07-14 972
NetworkPolicy Kubernetes提供了NetworkPolicy,支持按Namespace级别的网络隔离,flannel 是没有网络策略的,calico有网络策略,建议安装calico,或者canal(就是flannel+calico,flannel作为网络划分,calico作为网络策略)。 环境 192.168.48.101 master01 192.168.48.201 nod...
云原生|kubernetes|networkPolicy网络策略详解
zsk_john的技术分享专用博客
12-31 1306
由以上实验我们可以得出一个结论: 1,namespace是networkPolicy的作用域 2,from表示方向,因此,上面的例子,标签是打在了nginx1,然后登陆的nginx1,那么,如果标签打到了nginx2上,就需要使用nginx2访问nginx1了。
浅析 Kubernetes原生NetworkPolicy 网络策略,让更安全的容器运行环境唾手可得
alauda_andy的博客
05-29 467
k8s中的网络策略主要分为原生 NetworkPolicy 和第三方网络插件提供的网络策略。本文将主要分析原生Networkpolicy的网络策略。什么是网络策略 网络策略(NetworkPolicy)是一种关于 Pod 间及 Pod 与其他网络端点间所允许的通信规则的规范。NetworkPolicy 资源使用标签选择 Pod,并定义选定 Pod 所允许的通信规则。 k8s中的网络策略由实现了CN...
Kubernetes学习之NetworkPolicy
Steven19920104的博客
12-26 1014
上述规则允许role=db命名空间上带有标签的任何 Pod 通过 TCPdefault与范围内的任何 IP 进行通信10.0.0.0/24,前提是目标端口在范围 32000 和 32768 之间。有了这个策略,任何额外的策略都不会导致来自这些 pod 的任何传出连接被拒绝。有了这个策略,任何额外的策略都不会导致到这些 pod 的任何传入连接被拒绝。这确保了即使没有被任何其他 NetworkPolicy 选择的 Pod 也不会被允许进入或流出流量。默认情况下,Pod的出口是非隔离的,允许所有出站连接。
一文吃透K8s 网络策略 NetworkPolicy !别再裸奔了!
2505_90729871的博客
05-16 835
维度建议实践启用网络插件使用支持 NetworkPolicy 的 CNI 插件最小权限原则只允许必要的通信,默认拒绝其他访问Ingress + Egress 配合使用控制内外流量,提升安全性多策略组合一组 Pod 可匹配多个策略,注意覆盖顺序版本控制与 GitOps 管理推荐将 NetworkPolicy 纳入版本控制。
k8s 原生的NetworkPolicy 和calico的NetworkPolicy 有什么区别
03-23
<think>嗯,用户现在问的是Kubernetes原生的NetworkPolicy和Calico的NetworkPolicy有什么区别。之前用户问过关于Calico中169.254.1.1的作用,可能是在部署或调试Calico网络时遇到了问题,现在想进一步了解网络策略方面的差异。用户可能是在使用Kubernetes集群,并且选择了Calico作为CNI插件,所以需要明确两者在网络策略上的不同,以便更好地进行安全配置。 首先,我需要回忆一下Kubernetes原生NetworkPolicy的基本概念。原生的NetworkPolicy是基于标签来选择Pod,并定义入口和出口规则。它主要作用于L3和L4层,也就是IP和端口层面。不过,原生的NetworkPolicy需要CNI插件支持才能生效,比如Calico、Cilium等,并不是所有CNI都支持。另外,原生策略的规则相对基础,比如只能基于IP、端口和Pod标签来做控制,不支持更复杂的条件,比如命名空间标签或者协议类型外的其他属性。 接下来是Calico的NetworkPolicy。Calico作为功能更强大的CNI插件,扩展了Kubernetes的策略模型。他们的策略不仅支持K8s原生的资源,还有自己的CRD,比如GlobalNetworkPolicyNetworkPolicy。Calico的策略可以在L3-L7层工作,支持更复杂的规则,比如HTTP路径、域名解析,甚至还能集成Istio做服务网格的授权。此外,Calico的策略作用域更广,可以定义集群级别的全局策略,或者针对特定接口的策略,这是原生NetworkPolicy做不到的。 然后,我需要比较两者的区别。功能范围上,Calico显然更全面,支持更多协议层和复杂条件。匹配条件方面,Calico可以基于命名空间标签、服务账户、甚至地理IP,而原生只能基于Pod标签。作用域方面,Calico有全局策略,原生仅限于命名空间内。另外,Calico还支持拒绝规则和日志记录,这对于调试和监控非常有用,而原生策略默认没有拒绝动作,需要隐式拒绝。 用户可能需要了解这些区别来决定使用哪种策略,或者是否同时使用。比如,如果只需要基本的隔离,原生策略可能足够;但若需要更细粒度的控制,比如应用层规则或全局策略,Calico就更合适。同时,用户可能关心兼容性问题,比如混用两者时的优先级,或者如何迁移现有策略。 可能用户的实际场景是,他们在使用Calico,但之前只接触过原生策略,现在遇到了一些安全需求,需要更高级的功能,因此想了解两者的差异。或者他们在设计集群网络策略时,需要评估不同方案的优缺点。此外,用户可能对如何选择策略模型,或者如何避免冲突有疑问,需要给出最佳实践。 最后,要确保回答结构清晰,分点说明,并给出示例帮助理解。还要注意用户可能对技术细节不太熟悉,所以需要用相对易懂的语言解释,同时保持准确性。比如,解释L3-L7层的具体例子,或者说明GlobalNetworkPolicy的应用场景。可能需要提到Calico的策略执行顺序,或者如何通过annotations来调整优先级,这些对实际配置很有帮助。</think>### **核心区别概览** Kubernetes 原生 `NetworkPolicy` 和 Calico 扩展的 `NetworkPolicy` 在 **功能范围、规则粒度、实现机制** 上存在显著差异。以下是关键对比: | **特性** | **Kubernetes NetworkPolicy** | **Calico NetworkPolicy** | |------------------------|-------------------------------------------------------|-------------------------------------------------------| | **规范层级** | L3-L4(IP + 端口) | L3-L7(IP/端口/HTTP路径/DNS域名等) | | **作用域** | 仅限命名空间内 | 支持集群级(`GlobalNetworkPolicy`)和跨命名空间 | | **规则类型** | 仅允许规则(隐式拒绝) | 允许 + 显式拒绝(支持 `deny` 动作) | | **匹配条件** | Pod标签、IP CIDR、端口 | 扩展至命名空间标签、服务账户、协议字段(如ICMP类型) | | **策略优先级** | 无优先级控制 | 支持策略顺序(`order` 字段)和日志记录(`log` 动作) | | **底层依赖** | 依赖 CNI 插件实现(如 Calico/Cilium) | 由 Calico Felix 组件直接实现 | --- ### **1. 功能范围对比** #### **(1) Kubernetes 原生 NetworkPolicy** - **基础功能**: - 控制 Pod 的入口(`ingress`)和出口(`egress`)流量。 - 支持基于 **Pod 标签选择器**、**命名空间选择器** 和 **IP CIDR** 定义规则。 - 仅作用于 **TCP/UDP/SCTP 协议**,无法控制 ICMP 或其他协议。 - **限制**: - 无显式拒绝规则,默认隐式拒绝所有非匹配流量。 - 无法定义集群级全局策略(如针对所有命名空间的统一规则)。 **示例**: ```yaml apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: allow-web spec: podSelector: matchLabels: app: web policyTypes: - Ingress ingress: - from: - podSelector: matchLabels: role: frontend ports: - protocol: TCP port: 80 ``` #### **(2) Calico NetworkPolicy** - **扩展功能**: - 支持 **显式拒绝**(`deny` 动作)和 **日志记录**(`log` 动作)。 - 可匹配 **HTTP路径**、**DNS域名**、**ICMP类型/代码** 等高级条件。 - 通过 `GlobalNetworkPolicy` 定义集群级策略(如强制所有 Pod 使用 DNSSEC)。 - 支持 **策略优先级**(`order` 字段控制执行顺序)。 **示例**: ```yaml apiVersion: projectcalico.org/v3 kind: NetworkPolicy metadata: name: deny-external-dns spec: order: 100 selector: app == 'critical' types: - Egress egress: - action: Deny protocol: UDP destination: ports: [53] notNets: [10.96.0.0/12] # 禁止访问非集群内 DNS ``` --- ### **2. 实现机制差异** #### **(1) Kubernetes 原生策略** - **依赖 CNI 插件**:原生 `NetworkPolicy` 需要 CNI 插件(如 Calico、Cilium)实现实际的数据平面规则。 - **转换逻辑**:当 Calico 处理 Kubernetes `NetworkPolicy` 时,会将其转换为等价的 Calico 策略对象(可通过 `calicoctl get networkpolicy` 查看)。 #### **(2) Calico 原生策略** - **直接控制数据平面**:Calico 策略由 Felix 组件直接编程到 Linux 内核的 `iptables/nftables` 或 Windows 的 `HNS`。 - **细粒度控制**:支持更复杂的匹配条件(例如 `http.method == 'POST'` 或 `dns.query == 'example.com'`)。 --- ### **3. 典型使用场景** #### **适用原生 NetworkPolicy 的场景**: - 仅需基本隔离(如允许前端 Pod 访问后端服务)。 - 希望保持跨 CNI 插件的兼容性。 #### **需选择 Calico NetworkPolicy 的场景**: - 需要拒绝特定流量(如屏蔽恶意 IP)。 - 定义集群级安全基线(如强制所有 Pod 禁止访问外部数据库)。 - 精细化控制(如仅允许访问特定 HTTP 路径或 DNS 记录)。 --- ### **4. 兼容性与共存** - **混合使用**:Calico 支持同时处理 Kubernetes 原生 `NetworkPolicy` 和 Calico 扩展策略。 - **优先级规则**: - Calico `GlobalNetworkPolicy` 默认优先级最高。 - Kubernetes `NetworkPolicy` 会被转换为优先级较低的 Calico 策略。 - 可通过 `order` 字段显式调整策略顺序。 --- ### **总结建议** | **维度** | **Kubernetes NetworkPolicy** | **Calico NetworkPolicy** | |----------------|------------------------------|------------------------------------| | **简单隔离** | ✅ 推荐 | ⚠️ 功能冗余 | | **高级控制** | ❌ 不足 | ✅ 必选 | | **多云兼容性** | ✅ 高 | ❌ 依赖 Calico 数据平面 | **决策建议**: - 若需基础隔离且希望兼容不同 CNI,优先使用 Kubernetes 原生策略。 - 若需精细化控制或集群级安全策略,直接使用 Calico 扩展策略。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

hxpjava1

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值