关于Calico

关于Calico

一、什么是Calico?

https://projectcalico.docs.tigera.io/about/about-calico
https://github.com/projectcalico/calico

Calico is an open source networking and network security solution for containers, virtual machines, and native host-based workloads. Calico supports a broad range of platforms including Kubernetes, OpenShift, Mirantis Kubernetes Engine (MKE), OpenStack, and bare metal services.

Calico 是一个针对容器、虚拟机和基于物理主机的工作负载的开源网络和网络安全解决方案。Calico 支持广泛的平台，包括 Kubernetes、 OpenShift、 Mirantis Kubernetes Engine (MKE)、 OpenStack 和 bare metal 服务。

Whether you opt to use Calico’s eBPF data plane or Linux’s standard networking pipeline, Calico delivers blazing fast performance with true cloud-native scalability. Calico provides developers and cluster operators with a consistent experience and set of capabilities whether running in public cloud or on-prem, on a single node, or across a multi-thousand node cluster.

无论您选择使用 Calico 的 eBPF 数据平面还是 Linux 的标准网络管道，Calico 都提供了真正的云原生可伸缩性的高速性能。Calico 为开发人员和集群运营商提供了一致的体验和一系列的能力，无论是在公共云还是 on-prem、或在单个节点上还是在数千个节点的集群上运行。

二、为什么使用Calico

Choice of dataplanes数据通道的选择

Calico 为您提供了数据通道的选择，包括一个纯 Linux eBPF 数据通道、一个标准 Linux 网络数据通道和一个 Windows HNS 数据通道。无论你是喜欢 eBPF 的高级特性，还是熟悉现有系统管理员已经知道的标准原语，Calico 都可以覆盖。

无论哪个选择对你来说都是正确的，你将得到相同的、易于使用的、基本的网络、网络策略和 IP 地址管理功能，这些功能使 Calico 成为任务关键型云本地应用程序最值得信赖的网络和网络策略解决方案。

Best practices for network security网络安全的最佳实践

Calico 丰富的网络策略模型使得锁定通信变得容易，因此只有你想要流动的流量才能流动。加上内置的对 Wireguard 加密的支持，保护您的pod-to-pod通过网络的流量从来没有这么容易。

Calico 的策略引擎可以在主机网络层执行相同的策略模型，并在服务网格层执行(如果使用 Istio & troper) ，保护您的基础设施不受工作负载的损害，并保护您的工作负载不受基础设施的损害。

Performance性能

取决于你的选择，Calico 使用 Linux eBPF 或 Linux 内核高度优化的标准网络管道来提供高性能网络。Calico 的网络选项足够灵活，可以在大多数环境中不使用覆盖而运行，避免了封包/解包的开销。Calico 的控制平面和策略引擎经过多年的生产使用已经得到了很好的调整，以最小化总体 CPU 使用量和占用率。

Scalability可扩展性

Calico 的核心设计原则利用了最佳实践的云原生设计模式，结合了被世界上最大的互联网运营商所信任的经过验证的基于标准的网络协议。其结果是一个具有可扩展性的解决方案，已经在生产中大规模运行了年。Calico 的开发测试周期包括定期测试数千个节点集群。无论您运行的是一个10节点集群、100节点集群或更多，您都可以从最大的 Kubernetes 集群所要求的改进的性能和可伸缩性特性中获益。

Interoperability互用性

Calico 允许 Kubernetes 工作负载和非 Kubernetes 工作负载或历史工作负载进行无缝和安全的通信。Kubernetes pod是您网络上的一等公民，并且能够与您网络上的任何其他工作负载进行通信。此外，Calico 可以通过 Kubernetes 无缝扩展来保护您现有的基于主机的工作负载(无论是在公共云还是虚拟机或裸机服务器上的 on-prem)。所有工作负载都受制于相同的网络策略模型，因此只允许流量是您期望流量。

Real world production hardened

Calico 在大型企业(包括 SaaS 供应商、金融服务公司和制造商)的生产中得到信赖和运行。最大的公共云提供商已经选择 Calico 为其托管的 Kubernetes 服务(Amazon EKS、 Azure AKS、 Google GKE 和 IBM IKS)提供网络安全，这些服务跨越了数万个集群。

Kubernetes 网络策略支持

Calico 的网络策略引擎在 API 开发过程中形成了 Kubernetes 网络策略的原始参考实施。Calico 的特点在于它实现了 API 定义的所有功能，给用户定义 API 时所设想的所有功能和灵活性。对于需要更多电力的用户，Calico 支持一套扩展的网络策略功能，这些功能与 Kubernetes API 一起无缝工作，为用户定义网络策略提供了更大的灵活性。

贡献者社区

Calico 开源项目之所以有今天的成就，要感谢来自各种公司的200多名贡献者。此外，Calico 还得到了最初 Calico 工程团队创立的 Tigera 的支持，并致力于保持 Calico 作为 Kubernetes 网络安全的领先标准。

Calico 云兼容性

Calico Cloud 建立在开源 Calico 的基础上，提供了 Kubernetes 的安全性和可观察性特性和功能:

• Egress access controls (DNS policies, egress gateways) 离开访问控制(DNS 策略，离开网关)
• Extend firewall to Kubernetes 将防火墙扩展至 Kubernetes
• Hierarchical tiers 层级结构
  FQDN / DNS based policy 基于 FQDN/DNS 的策略
• Micro-segmentation across host/VMs/containers 跨主机/虚拟机/容器的微分段
• Security policy preview, staging, and recommendation 安全策略预览、分段和推荐
• Compliance reporting and alerts 合规报告和警报
• Intrusion detection & prevention (IDS / IPS) for Kubernetes 用于 Kubernetes 的入侵检测与防御(IDS/IPS)
• SIEM Integrations SIEM 集成
• Application Layer (L7) observability 应用层(L7)可观测性
• Dynamic packet capture 动态数据包捕获
• DNS dashboards DNS 仪表盘