Die besten Network Policy Tools für Kubernetes 2026 — Calico vs Cilium vs Weave Net: Vollständiger Vergleichsleitfaden
Veröffentlicht am 17. Februar 2026 von Yaya Hanayagi
Die Kubernetes-Netzwerksicherheit hat sich erheblich weiterentwickelt, und die Wahl des richtigen Network Policy Tools im Jahr 2026 ist entscheidend für Cluster-Sicherheit, Leistung und operative Effizienz. Dieser umfassende Leitfaden analysiert die wichtigsten verfügbaren Network Policy Lösungen und vergleicht ihre Architekturen, Funktionen, Preise und reale Leistung.
Inhaltsverzeichnis
- Einführung in Kubernetes Network Policies
- Die Network Policy Landschaft 2026
- Detaillierte Tool-Analyse
- Performance-Benchmarks
- Vergleichstabellen
- Entscheidungsframework
- Sicherheitsüberlegungen
- Integrationsmuster
- Häufig gestellte Fragen
- Fazit
Einführung in Kubernetes Network Policies
Network Policies in Kubernetes definieren Regeln, die den Verkehrsfluss zwischen Pods, Namespaces und externen Endpunkten steuern. Standardmäßig erlaubt Kubernetes jegliche Pod-zu-Pod-Kommunikation—ein Design, das Konnektivität über Sicherheit priorisiert. Network Policies ermöglichen Zero-Trust-Networking durch explizite Definition erlaubter Kommunikationspfade.
Allerdings unterstützen nicht alle Container Network Interface (CNI) Plugins Network Policies. Die Wahl des CNI beeinflusst direkt Ihre Sicherheitsfähigkeiten, Leistungsmerkmale und operative Komplexität.
Die Network Policy Landschaft 2026
Das Network Policy Ökosystem ist erheblich gereift, mit mehreren Schlüsseltrends, die die Landschaft prägen:
- eBPF-Adoption: Moderne Lösungen wie Cilium nutzen eBPF für überlegene Leistung und tiefere Kernel-Integration
- Service Mesh Integration: CNIs bieten zunehmend eingebaute Service Mesh Funktionen ohne Sidecar-Overhead
- Multi-Cloud-Konsistenz: Enterprise-Lösungen fokussieren auf konsistente Policies über Hybrid- und Multi-Cloud-Deployments
- Observability-Fokus: Erweiterte Flow-Überwachung und Netzwerk-Sichtbarkeit sind zu Standarderwartungen geworden
- Windows-Support: Wachsende Nachfrage nach Windows-Node-Support in Enterprise-Umgebungen
Detaillierte Tool-Analyse
1. Calico
Überblick: Calico bleibt eine der am weitesten verbreiteten Network Policy Lösungen und bietet sowohl Open-Source- als auch Enterprise-Varianten über Tigera.
Architektur:
- Verwendet BGP für Route-Verteilung zwischen Nodes
- Setzt iptables oder eBPF für Paket-Filterung ein (eBPF-Modus verfügbar seit v3.13)
- Felix-Agent läuft auf jedem Node für Policy-Durchsetzung
- Typha-Komponente bietet skalierbaren Datastore-Zugang für große Cluster
Hauptfunktionen:
- Layer 3/4 und Layer 7 Network Policies
- Multi-Cluster-Networking
- Egress-Gateways für kontrollierten externen Zugang
- Integration mit Istio Service Mesh
- Compliance-Reporting und Audit-Fähigkeiten
- Erweiterte Sicherheitskontrollen (Verschlüsselung, Bedrohungserkennung)
2026 Preise:
- Open Source: Kostenlos
- Calico Cloud (Managed Service): Ab $0.50 pro Node/Stunde
- Calico Enterprise: Individuelle Preise, typisch $10.000-50.000+ jährlich je nach Cluster-Größe
Vorteile:
- Reife, kampferprobte Lösung mit umfangreicher Enterprise-Adoption
- Ausgezeichnete Dokumentation und Community-Support
- Flexible Deployment-Modi (Overlay, Host-Gateway, Cross-Subnet)
- Starke Compliance- und Audit-Features im Enterprise-Tier
- Funktioniert über mehrere Cloud-Provider und On-Premises
Nachteile:
- iptables-Modus kann zum Performance-Engpass in großen Clustern werden
- Komplexe Konfiguration für erweiterte Szenarien
- Enterprise-Features erfordern bezahlte Lizenzierung
- BGP-Setup-Komplexität in einigen Netzwerkumgebungen
Beste Anwendungsfälle:
- Enterprise-Umgebungen mit Compliance- und Audit-Anforderungen
- Multi-Cloud-Deployments mit konsistentem Networking-Bedarf
- Organisationen mit bestehender BGP-Netzwerkinfrastruktur
- Cluster mit erweiterten Sicherheitskontrollen
2. Cilium
Überblick: Cilium repräsentiert die nächste Generation des Kubernetes-Networkings, von Grund auf mit eBPF-Technologie für maximale Leistung und tiefe Kernel-Integration entwickelt.
Architektur:
- eBPF-basierte Datenebene für Paketverarbeitung im Kernel-Space
- Kann kube-proxy mit eBPF-basiertem Load Balancing ersetzen
- Verwendet Linux-Kernel-Networking-Primitive für Routing
- Agent läuft im privilegierten Modus auf jedem Node
- Optionale Service Mesh Funktionen ohne Sidecars
Hauptfunktionen:
- Native eBPF-Performance-Vorteile
- Layer 3/4/7 Network Policies mit HTTP/gRPC/Kafka-Protokoll-Bewusstsein
- Identitätsbasierte Sicherheit (SPIFFE/SPIRE-Integration)
- Cluster-Mesh für Multi-Cluster-Konnektivität
- Transparente Verschlüsselung (WireGuard, IPSec)
- Erweiterte Observability mit Hubble
- Eingebautes Service Mesh (keine Envoy-Sidecars erforderlich)
2026 Preise:
- Open Source: Kostenlos
- Isovalent Enterprise (Cilium Enterprise-Distribution): Individuelle Preise, geschätzt $15.000-75.000+ jährlich
- Managed Cloud Services: Verfügbar über große Cloud-Provider
Vorteile:
- Überlegene Leistung durch eBPF-Kernel-Integration
- Modernste Features und schnelle Entwicklung
- Ausgezeichnete Service Mesh Integration ohne Sidecar-Overhead
- Starke Observability und Debugging-Fähigkeiten
- Aktives CNCF-Projekt mit wachsendem Ökosystem
Nachteile:
- Erfordert moderne Linux-Kernel (4.9+ für Grundfunktionen, 5.4+ empfohlen)
- Steilere Lernkurve für Teams, die eBPF nicht kennen
- Relativ neuer im Vergleich zu Calico (weniger Enterprise-Validierung)
- Komplexe Fehlerbehebung bei eBPF-Programm-Fehlfunktionen
Beste Anwendungsfälle:
- Leistungskritische Umgebungen
- Moderne Microservices-Architekturen mit L7-Policy-Anforderungen
- Organisationen mit eingebautem Service Mesh ohne Sidecars
- Cloud-native Umgebungen mit modernen Kernel-Versionen
3. Weave Net
Überblick: Weave Net bietet einen unkomplizierten Ansatz für Kubernetes-Networking mit eingebauter Network Policy Unterstützung und Mesh-Networking-Fähigkeiten.
Architektur:
- Erstellt verschlüsseltes Netzwerk-Overlay zwischen Nodes
- Verwendet Kernel-Paket-Capture und Userspace-Routing
- weave-npc Container behandelt Network Policy Durchsetzung
- Automatische Service-Discovery und DNS-Integration
Hauptfunktionen:
- Einfache Installation und Konfiguration
- Automatische Verschlüsselung zwischen Nodes
- Eingebaute Network Policy Unterstützung
- Multi-Cloud-Networking-Fähigkeiten
- Integration mit Weave Cloud (eingestellt) und anderen Monitoring-Tools
- Support für sowohl Overlay- als auch Host-Networking-Modi
2026 Preise:
- Open Source: Kostenlos
- Hinweis: Weaveworks stellte 2024 den Betrieb ein, aber das Open-Source-Projekt wird unter Community-Wartung fortgesetzt
Vorteile:
- Extrem einfaches Setup und Betrieb
- Eingebaute Verschlüsselung ohne zusätzliche Konfiguration
- Gute Network Policy Implementierung
- Zuverlässige Funktion über verschiedene Cloud-Umgebungen
- Minimale externe Abhängigkeiten
Nachteile:
- Performance-Overhead durch Userspace-Paketverarbeitung
- Begrenzter Enterprise-Support nach Weaveworks-Schließung
- Weniger feature-reich im Vergleich zu Calico oder Cilium
- Langsameres Entwicklungstempo unter Community-Wartung
Beste Anwendungsfälle:
- Kleine bis mittlere Cluster mit Fokus auf Einfachheit
- Entwicklungs- und Testumgebungen
- Organisationen mit standardmäßigem Verschlüsselungsbedarf
- Teams, die minimalen Konfigurationsaufwand bevorzugen
4. Antrea
Überblick: Antrea ist VMwares Kubernetes-Networking-Lösung, die Open vSwitch (OVS) für programmierbare Networking-Fähigkeiten und starken Windows-Support nutzt.
Architektur:
- Basiert auf Open vSwitch für Datenebenen-Verarbeitung
- Antrea Agent läuft auf jedem Node
- Antrea Controller verwaltet Network Policies zentral
- Verwendet OVS-Flow-Tabellen für Paketverarbeitung
Hauptfunktionen:
- Exzellenter Windows-Node-Support
- Erweiterte Network Policies einschließlich Antrea-spezifischer Erweiterungen
- Traffic-Monitoring und Flow-Export-Fähigkeiten
- Integration mit VMware NSX für Enterprise-Features
- Multi-Cluster-Networking-Support
- ClusterNetworkPolicy und Antrea NetworkPolicy CRDs für erweiterte Funktionalität
2026 Preise:
- Open Source: Kostenlos
- VMware NSX mit Antrea: Teil der NSX-Lizenzierung, $15-50 pro CPU monatlich je nach Edition
Vorteile:
- Bester Windows-Support seiner Klasse
- Starke Integration mit VMware-Ökosystem
- Erweiterte Policy-Fähigkeiten über Standard-NetworkPolicy hinaus
- Gute Performance-Eigenschaften
- Aktive Entwicklung und Enterprise-Unterstützung
Nachteile:
- OVS-Abhängigkeit erhöht Komplexität
- Primär für VMware-Umgebungen optimiert
- Weniger Community-Adoption außerhalb von VMware-Nutzern
- Lernkurve für Teams ohne OVS-Erfahrung
Beste Anwendungsfälle:
- Gemischte Windows/Linux Kubernetes-Cluster
- VMware-zentrische Infrastruktur-Umgebungen
- Organisationen mit erweiterten Policy-Feature-Anforderungen
- Unternehmen mit bestehenden VMware-Networking-Lösungsinvestitionen
5. Kube-router
Überblick: Kube-router ist eine leichtgewichtige Networking-Lösung, die Standard-Linux-Networking-Tools (iptables, IPVS, BGP) ohne zusätzliche Overlay-Netzwerke verwendet.
Architektur:
- Verwendet BGP für Pod-Subnet-Advertisement
- IPVS für Service-Proxy-Funktionalität
- iptables für Network Policy Durchsetzung
- Direktes Routing ohne Overlay-Netzwerke
Hauptfunktionen:
- Kein Overlay-Netzwerk-Overhead
- Verwendet Standard-Linux-Networking-Primitive
- Integrierte Service-Proxy-, Firewall- und Pod-Networking
- BGP-basierte Route-Advertisement
- Grundlegende Network Policy Unterstützung
2026 Preise:
- Open Source: Kostenlos (kein kommerzielles Angebot)
Vorteile:
- Minimaler Ressourcen-Overhead
- Verwendet vertraute Linux-Networking-Tools
- Keine proprietären Komponenten oder Overlays
- Gute Performance für einfache Networking-Bedürfnisse
- Einfache Fehlerbehebung mit Standard-Tools
Nachteile:
- Begrenzte Network Policy Features im Vergleich zu anderen Lösungen
- Weniger geeignet für komplexe Multi-Cluster-Szenarien
- Erfordert BGP-Kenntnisse für erweiterte Konfigurationen
- Minimale Enterprise-Features oder Support-Optionen
Beste Anwendungsfälle:
- Ressourcenbeschränkte Umgebungen
- Einfache Networking-Anforderungen mit grundlegender Sicherheit
- Organisationen, die Standard-Linux-Networking bevorzugen
- Entwicklungscluster mit minimalen Policy-Bedürfnissen
6. Flannel mit Network Policy Add-ons
Überblick: Flannel ist ein einfaches Overlay-Netzwerk, das traditionell Network Policies nativ nicht unterstützt, aber mit zusätzlichen Policy-Engines erweitert werden kann.
Architektur:
- Erstellt Overlay-Netzwerk mit VXLAN- oder host-gw-Backend
- Erfordert zusätzliche Komponenten (wie Calico Policy Engine) für Network Policy Support
- Canal kombiniert Flannel-Networking mit Calico-Policies
Hauptfunktionen:
- Extrem einfaches Networking-Setup
- Mehrere Backend-Optionen (VXLAN, host-gw, AWS VPC, GCE)
- Kann mit anderen Policy-Engines kombiniert werden (Canal = Flannel + Calico)
2026 Preise:
- Open Source: Kostenlos
- Canal (Flannel + Calico): Kostenlose Open Source, Enterprise Calico Features über Tigera verfügbar
Vorteile:
- Minimale Konfiguration erforderlich
- Stabil und weit verbreitet
- Flexible Backend-Optionen
- Kann mit anderen Policy-Engines erweitert werden
Nachteile:
- Keine native Network Policy Unterstützung
- Zusätzliche Komplexität beim Hinzufügen von Policy-Engines
- Begrenzte erweiterte Networking-Features
- Performance-Overhead von Overlay-Networking
Beste Anwendungsfälle:
- Greenfield-Deployments mit Fokus auf Einfachheit
- Entwicklungsumgebungen mit minimalen Sicherheitsanforderungen
- Legacy-Anwendungen mit stabilen Networking-Anforderungen
- In Kombination mit Canal für Policy-Support
7. Kubernetes Native NetworkPolicy
Überblick: Die eingebaute Kubernetes NetworkPolicy Ressource bietet eine standardisierte API für die Definition von Network Policies, erfordert aber ein CNI, das die Spezifikation implementiert.
Hauptfunktionen:
- Standardisierte API über alle Network Policy Implementierungen
- Ingress- und Egress-Regel-Definitionen
- Pod-, Namespace- und IP-Block-Selektoren
- Port- und Protokoll-Spezifikationen
Implementierungsanforderungen:
- Muss mit einem policy-fähigen CNI gepaart werden
- Policies werden vom CNI durchgesetzt, nicht von Kubernetes selbst
- Begrenzt auf Layer 3/4 Regeln (keine Layer 7 Fähigkeiten in Standard-Spezifikation)
Performance-Benchmarks
Performance-Eigenschaften variieren erheblich zwischen Network Policy Tools. Basierend auf verfügbaren Benchmarks und Community-Berichten:
Durchsatz-Performance
Laut Ciliums offiziellen Benchmarks:
- Cilium (eBPF-Modus): Kann nahezu native Networking-Performance erreichen, manchmal durch Kernel-Optimierungen die Node-zu-Node-Baseline übertreffen
- Calico (eBPF-Modus): Signifikante Verbesserung gegenüber iptables-Modus, Annäherung an Cilium-Performance-Level
- Calico (iptables-Modus): Gute Performance bis zu moderatem Maßstab, Verschlechterung mit Tausenden von Policies
Basierend auf arxiv.org Performance-Evaluierungsstudie:
- Cilium: Durchschnittliche CPU-Auslastung von 10% während Netzwerkoperationen
- Calico/Kube-router: Durchschnittlicher CPU-Verbrauch von 25% unter ähnlichen Arbeitslasten
Latenz-Eigenschaften
- eBPF-basierte Lösungen (Cilium, Calico eBPF): Sub-Mikrosekunden Policy-Evaluierung
- iptables-basierte Lösungen: Linearer Latenz-Anstieg mit Policy-Anzahl
- OVS-basierte Lösungen (Antrea): Konsistente Latenz durch Flow-Table-Verarbeitung
Skalierbarkeits-Metriken
- Cilium: Getestet mit 5.000+ Nodes und 100.000+ Pods
- Calico: Bewährt in Deployments mit über 1.000 Nodes
- Weave Net: Empfohlen für Cluster unter 500 Nodes
- Antrea: Gute Skalierbarkeit mit OVS-Optimierungen
Hinweis: Performance variiert erheblich basierend auf Kernel-Version, Hardware und spezifischer Konfiguration. Führen Sie immer Benchmarks in Ihrer spezifischen Umgebung durch.
Vergleichstabellen
Feature-Vergleichsmatrix
| Feature | Calico | Cilium | Weave Net | Antrea | Kube-router | Flannel |
|---|---|---|---|---|---|---|
| Network Policies | ✅ | ✅ | ✅ | ✅ | Grundlegend | ❌* |
| Layer 7 Policies | ✅ (Enterprise) | ✅ | ❌ | ✅ | ❌ | ❌ |
| eBPF Support | ✅ | ✅ (Nativ) | ❌ | ❌ | ❌ | ❌ |
| Service Mesh | ✅ (mit Istio) | ✅ (Eingebaut) | ❌ | ❌ | ❌ | ❌ |
| Windows Support | ✅ | Begrenzt | ❌ | ✅ | ❌ | ✅ |
| Verschlüsselung | ✅ | ✅ | ✅ (Eingebaut) | ✅ | ❌ | ❌ |
| Multi-Cluster | ✅ | ✅ | ✅ | ✅ | ❌ | ❌ |
| Observability | ✅ (Enterprise) | ✅ (Hubble) | Grundlegend | ✅ | Grundlegend | ❌ |
*Flannel kann Policies unterstützen, wenn mit Canal (Flannel + Calico) kombiniert
Performance-Vergleich
| Lösung | Durchsatz | CPU-Overhead | Speichernutzung | Skalierbarkeit |
|---|---|---|---|---|
| Cilium (eBPF) | Ausgezeichnet | Niedrig (10%) | Moderat | Sehr hoch |
| Calico (eBPF) | Sehr gut | Niedrig-Mittel | Moderat | Hoch |
| Calico (iptables) | Gut | Mittel (25%) | Niedrig | Mittel |
| Weave Net | Ausreichend | Mittel | Moderat | Mittel |
| Antrea | Gut | Niedrig-Mittel | Moderat | Hoch |
| Kube-router | Gut | Mittel (25%) | Niedrig | Mittel |
| Flannel | Gut | Niedrig | Niedrig | Mittel |
Preisübersicht (2026)
| Lösung | Open Source | Enterprise/Managed | Zielbenutzer |
|---|---|---|---|
| Calico | Kostenlos | $0.50/Node/Stunde (Cloud) | Alle Größen |
| Cilium | Kostenlos | ~$15k-75k/Jahr (Schätzung) | Mittel bis Groß |
| Weave Net | Kostenlos | N/A (Community) | Klein bis Mittel |
| Antrea | Kostenlos | In NSX enthalten | VMware-Umgebungen |
| Kube-router | Kostenlos | N/A | Kleine Cluster |
| Flannel | Kostenlos | N/A | Entwicklung/Einfach |
Entscheidungsframework
Die Wahl des richtigen Network Policy Tools hängt von mehreren Faktoren ab. Verwenden Sie dieses Framework zur Entscheidungsfindung:
1. Cluster-Größe und Skalierungsanforderungen
Kleine Cluster (< 50 Nodes):
- Weave Net: Einfachheit mit eingebauter Verschlüsselung
- Flannel: Minimaler Overhead für grundlegendes Networking
- Kube-router: Standard-Linux-Networking-Tools
Mittlere Cluster (50-500 Nodes):
- Calico: Reife Lösung mit Enterprise-Optionen
- Cilium: Moderne Performance mit eBPF
- Antrea: Falls Windows-Nodes erforderlich
Große Cluster (500+ Nodes):
- Cilium: Überlegene eBPF-Performance und Skalierbarkeit
- Calico (eBPF-Modus): Enterprise-Features mit guter Performance
2. Sicherheitsanforderungen-Bewertung
Grundlegende Netzwerk-Isolierung:
- Jedes policy-fähige CNI erfüllt Anforderungen
- Berücksichtigen Sie operative Komplexität vs. Sicherheitsbedürfnisse
Erweiterte Sicherheitskontrollen:
- Calico Enterprise: Compliance, Audit, Bedrohungserkennung
- Cilium: Identitätsbasierte Sicherheit, L7-Policy-Granularität
- Antrea: Erweiterte Policy-Fähigkeiten
Zero-Trust-Networking:
- Cilium: Eingebaute Identität und Service Mesh
- Calico: Integration mit Service Mesh Lösungen
3. Performance-Prioritäten
Maximaler Durchsatz:
- Cilium (eBPF nativ)
- Calico (eBPF-Modus)
- Antrea (OVS-Optimierung)
Niedrigster Ressourcen-Overhead:
- Kube-router (minimale Komponenten)
- Flannel (einfaches Overlay)
- Cilium (effizientes eBPF)
4. Operative Überlegungen
Einfachheits-Priorität:
- Weave Net (automatische Verschlüsselung, minimale Konfiguration)
- Flannel (grundlegendes Overlay-Networking)
- Calico (umfangreiche Dokumentation)
Enterprise-Support-Bedürfnisse:
- Calico (Tigera Support und Services)
- Antrea (VMware Enterprise-Unterstützung)
- Cilium (Isovalent Enterprise-Distribution)
5. Plattform- und Integrationsanforderungen
Multi-Cloud-Deployments:
- Calico: Konsistente Erfahrung über Clouds
- Cilium: Wachsende Cloud-Provider-Integration
VMware-Umgebungen:
- Antrea: Native VMware-Integration und -Optimierung
Windows-Arbeitslasten:
- Antrea: Bester Windows-Support
- Calico: Gute Windows-Fähigkeiten
Service Mesh Integration:
- Cilium: Eingebautes Service Mesh ohne Sidecars
- Calico: Ausgezeichnete Istio-Integration
Sicherheitsüberlegungen
Die Implementierung von Network Policies beeinflusst direkt die Cluster-Sicherheitshaltung. Wichtige Sicherheitsüberlegungen umfassen:
Standard-Sicherheitshaltung
Zero-Trust-Implementierung:
- Beginnen Sie mit Deny-All-Policies und erlauben Sie explizit erforderlichen Traffic
- Verwenden Sie Namespace-Isolierung als Grundlage
- Implementieren Sie Ingress- und Egress-Kontrollen
Layer 7 Sicherheit:
- Cilium und Calico Enterprise bieten HTTP/gRPC-Protokoll-Bewusstsein
- Antrea bietet erweiterte Policy-Fähigkeiten für Anwendungsprotokolle
- Berücksichtigen Sie API-Level-Sicherheit für sensible Arbeitslasten
Verschlüsselung und Datenschutz
Verschlüsselung im Transit:
- Weave Net: Eingebaute Verschlüsselung standardmäßig
- Cilium: WireGuard- und IPSec-Optionen
- Calico: Enterprise-Verschlüsselungsfeatures
- Berücksichtigen Sie Performance-Impact von Verschlüsselungs-Overhead
Identität und Authentifizierung:
- Cilium: SPIFFE/SPIRE-Integration für Workload-Identität
- Calico: Integration mit Identitäts-Providern
- Implementieren Sie mutual TLS wo erforderlich
Compliance und Audit
Regulatorische Anforderungen:
- Calico Enterprise: Eingebautes Compliance-Reporting
- Alle Lösungen: Netzwerk-Flow-Logging-Fähigkeiten
- Berücksichtigen Sie Daten-Residenz und Souveränitäts-Anforderungen
Audit und Monitoring:
- Implementieren Sie Netzwerk-Flow-Monitoring für alle Policy-Änderungen
- Verwenden Sie Observability-Tools (Hubble, Calico Enterprise UI) für Sichtbarkeit
- Führen Sie Policy-Änderungs-Audit-Trails
Bedrohungserkennung und -reaktion
Anomalie-Erkennung:
- Überwachen Sie unerwartete Traffic-Muster
- Implementieren Sie Alarme für Policy-Verletzungen
- Verwenden Sie Netzwerk-Observability für forensische Analyse
Incident Response:
- Bereiten Sie Playbooks für Netzwerk-Sicherheitsvorfälle vor
- Testen Sie Policy-Durchsetzung in Disaster-Szenarien
- Behalten Sie Netzwerk-Segmentierung während Sicherheitsereignissen bei
Integrationsmuster
Service Mesh Integration
Cilium + Eingebautes Service Mesh:
# Cilium Service Mesh Features aktivieren
apiVersion: v1
kind: ConfigMap
metadata:
name: cilium-config
data:
enable-l7-proxy: "true"
enable-remote-node-identity: "true"
Calico + Istio Integration:
# Calico Policy für Istio Service Mesh
apiVersion: projectcalico.org/v3
kind: NetworkPolicy
metadata:
name: istio-integration
spec:
selector: app == "productpage"
ingress:
- action: Allow
source:
serviceAccounts:
selector: app == "istio-proxy"
Multi-Cluster-Networking
Cilium Cluster Mesh:
apiVersion: cilium.io/v2alpha1
kind: CiliumClusterConfig
metadata:
name: cluster-mesh-config
spec:
cluster:
name: production-west
id: 1
nodes:
- name: cluster-east
address: "10.0.0.1"
Calico Multi-Cluster Setup:
apiVersion: projectcalico.org/v3
kind: RemoteClusterConfiguration
metadata:
name: remote-cluster
spec:
clusterAccessSecret: remote-cluster-secret
tunnelIPs: ["192.168.1.0/24"]
Observability Integration
Prometheus Monitoring:
# ServiceMonitor für CNI-Metriken
apiVersion: monitoring.coreos.com/v1
kind: ServiceMonitor
metadata:
name: cilium-metrics
spec:
selector:
matchLabels:
app: cilium
endpoints:
- port: prometheus
interval: 30s
Flow-Logging-Konfiguration:
# Hubble Flow Logging für Cilium
apiVersion: v1
kind: ConfigMap
metadata:
name: hubble-config
data:
enable-hubble: "true"
hubble-flow-buffer-size: "4095"
hubble-metrics: "dns,drop,tcp,flow,port-distribution"
Häufig gestellte Fragen
Allgemeine Network Policy Fragen
F: Benötige ich ein spezifisches CNI, um Kubernetes NetworkPolicies zu verwenden? A: Ja, NetworkPolicies sind nur API-Ressourcen in Kubernetes. Sie benötigen ein CNI, das Network Policy Durchsetzung implementiert. Standard-CNIs wie Flannel unterstützen keine Policies, während Calico, Cilium, Weave Net und Antrea dies tun.
F: Kann ich CNIs in einem bestehenden Cluster ändern? A: CNI-Änderungen erfordern typischerweise Cluster-Downtime und sorgfältige Migrationsplanung. Es ist generell einfacher, einen neuen Cluster mit dem gewünschten CNI bereitzustellen und Arbeitslasten zu migrieren. Einige Managed Services bieten CNI-Upgrades (wie Azure CNI zu Cilium).
F: Was passiert, wenn ich eine NetworkPolicy anwende, aber mein CNI sie nicht unterstützt? A: Die Policy wird von der Kubernetes API akzeptiert, aber nicht durchgesetzt. Traffic wird weiterhin fließen, als ob keine Policies existieren, was ein falsches Sicherheitsgefühl erzeugt.
Performance und Skalierbarkeit
F: Beeinflusst das Aktivieren von Network Policies die Performance? A: Ja, Policy-Evaluierung fügt Overhead hinzu. eBPF-basierte Lösungen (Cilium, Calico eBPF-Modus) haben minimale Auswirkungen, während iptables-basierte Implementierungen bei großen Policy-Zahlen degradieren können. Moderne Lösungen sind für Produktions-Arbeitslasten optimiert.
F: Wie viele Network Policies kann ich in einem Cluster haben? A: Dies hängt von Ihrem CNI und der Cluster-Größe ab. Cilium und Calico Enterprise handhaben Tausende von Policies effizient. iptables-basierte Implementierungen können Performance-Verschlechterung jenseits von 100-500 Policies pro Node zeigen.
F: Sollte ich Layer 7 Policies in der Produktion verwenden? A: Layer 7 Policies bieten feinkörnige Kontrolle, fügen aber Verarbeitungs-Overhead und Komplexität hinzu. Verwenden Sie sie für kritische Sicherheitsgrenzen und API-Level-Kontrollen, nicht für breite Traffic-Filterung, wo Layer 3/4 Policies ausreichen.
Sicherheit und Compliance
F: Sind Network Policies ausreichend für Zero-Trust-Sicherheit? A: Network Policies sind eine Komponente der Zero-Trust-Architektur. Sie benötigen auch Workload-Identität, Verschlüsselung, Audit-Logging und Anwendungsebenen-Sicherheitskontrollen. Betrachten Sie sie als Netzwerkebenen-Zugriffskontrolle, nicht als vollständige Sicherheit.
F: Wie debugge ich Network Policy Probleme? A: Die meisten CNIs bieten Tools für Policy-Debugging:
- Cilium:
cilium monitor, Hubble UI - Calico:
calicoctl get networkpolicy, Flow-Logs - Verwenden Sie
kubectl describe networkpolicyzur Policy-Syntax-Verifikation - Testen Sie Konnektivität mit diagnostischen Pods
F: Können Network Policies vor bösartigen Container-Ausbrüchen schützen? A: Network Policies kontrollieren Netzwerk-Traffic, nicht Container-Isolierung. Sie können den Blast-Radius nach einem Container-Ausbruch begrenzen, aber den Ausbruch selbst nicht verhindern. Kombinieren Sie mit Pod Security Standards, Admission Controllern und Runtime-Sicherheits-Tools.
Tool-spezifische Fragen
F: Sollte ich Calico oder Cilium für eine neue Bereitstellung wählen? A: Berücksichtigen Sie diese Faktoren:
- Wählen Sie Cilium, wenn: Sie modernste eBPF-Performance, eingebautes Service Mesh oder moderne Kernel-Umgebungen wollen
- Wählen Sie Calico, wenn: Sie bewährte Enterprise-Features, umfangreiche Dokumentation oder Support über diverse Umgebungen benötigen
- Beide sind ausgezeichnete Wahlen für die meisten Anwendungsfälle
F: Ist Weave Net nach der Weaveworks-Schließung noch viable? A: Weave Net wird als Open-Source-Projekt unter Community-Wartung fortgesetzt. Es ist stabil für bestehende Deployments, aber erwägen Sie Alternativen für neue Projekte aufgrund reduzierter Entwicklungsgeschwindigkeit und Enterprise-Support.
F: Wann sollte ich Antrea über andere Optionen in Betracht ziehen? A: Wählen Sie Antrea, wenn Sie haben:
- Gemischte Windows/Linux Kubernetes-Umgebungen
- Bestehende VMware-Infrastruktur-Investitionen
- Anforderungen für OVS-basierte Networking-Features
- Bedarf an erweiterten Policy-Fähigkeiten jenseits von Standard-NetworkPolicy
Migration und Betrieb
F: Wie migriere ich von einem CNI zu einem anderen? A: CNI-Migration erfordert typischerweise:
- Planen Sie während Wartungsfenster
- Sichern Sie bestehende Netzwerk-Konfigurationen
- Drainieren und rekonfigurieren Sie Nodes mit neuem CNI
- Aktualisieren Sie Network Policies auf neues CNI-Format (falls zutreffend)
- Testen Sie Konnektivität gründlich
Erwägen Sie Blue-Green-Cluster-Migration für Zero-Downtime-Übergänge.
F: Kann ich mehrere CNIs im selben Cluster betreiben? A: Kubernetes unterstützt nur ein CNI pro Cluster. Allerdings unterstützen einige CNIs mehrere Datenebenen (wie Calico, das sowohl iptables- als auch eBPF-Modi gleichzeitig unterstützt).
F: Wie oft sollte ich mein CNI aktualisieren? A: Befolgen Sie diese Richtlinien:
- Sicherheits-Updates: Sofort anwenden
- Feature-Updates: Vierteljährliche Updates planen
- Major-Versionen: Testen Sie gründlich in Staging zuerst
- Überwachen Sie CNI-Projekt-Release-Zyklen und Sicherheits-Advisories
Fazit
Die Auswahl des besten Network Policy Tools für Kubernetes 2026 erfordert ein Ausbalancieren von Performance-, Sicherheits-, operativer Komplexitäts- und Kostenüberlegungen. Die Landschaft hat sich erheblich entwickelt, wobei eBPF-basierte Lösungen Performance-Verbesserungen anführen, während traditionelle Lösungen ihre Enterprise-Angebote weiter reifen lassen.
Wichtige Empfehlungen:
Für maximale Performance und moderne Features: Cilium bietet modernste eBPF-Technologie mit eingebauten Service Mesh Fähigkeiten, ideal für performance-kritische und cloud-native Umgebungen.
Für Enterprise-Zuverlässigkeit und Support: Calico bietet kampferprobte Stabilität mit umfassenden Enterprise-Features, umfangreicher Dokumentation und bewährter Skalierbarkeit über diverse Umgebungen.
Für Einfachheit und grundlegende Anforderungen: Weave Net liefert unkompliziertes Setup mit eingebauter Verschlüsselung, berücksichtigen Sie jedoch langfristige Wartungsimplikationen.
Für VMware-Umgebungen: Antrea bietet beste Integration mit VMware-Infrastruktur und überlegenen Windows-Support.
Für ressourcenbeschränkte Deployments: Kube-router bietet minimalen Overhead mit Standard-Linux-Networking-Tools.
Das Network Policy Ökosystem entwickelt sich weiterhin schnell. Bleiben Sie über das Roadmap, Sicherheits-Updates und Community-Entwicklungen Ihrer gewählten Lösung informiert. Am wichtigsten ist gründliches Testen in Ihrer spezifischen Umgebung—Performance und operative Eigenschaften können erheblich basierend auf Ihrer Infrastruktur, Anwendungen und Anforderungen variieren.
Denken Sie daran, dass Network Policies nur eine Ebene der Kubernetes-Sicherheit sind. Kombinieren Sie sie mit Pod Security Standards, Admission Controllern, Runtime-Schutz und umfassender Observability für eine Defense-in-Depth-Sicherheitshaltung.
Suchen Sie nach mehr Kubernetes-Sicherheits-Einblicken? Folgen Sie unserem Blog für die neuesten Analysen von Cloud-Native-Sicherheits-Tools und Best Practices.
Schlüsselwörter: Beste Network Policy Tools für Kubernetes 2026, Kubernetes Network Policy Vergleich, Calico vs Cilium Performance, bestes CNI für Sicherheit, Kubernetes Networking-Sicherheit, CNI Vergleich 2026, Network Policy Durchsetzung, eBPF Networking, Kubernetes Zero-Trust