A Legjobb Hálózati Szabályzat Eszközök Kubernetes-hez 2026 — Calico vs Cilium vs Weave Net: Teljes Összehasonlítási Útmutató

Publikálva 2026. február 17-én, szerző: Yaya Hanayagi

A Kubernetes hálózati biztonság jelentősen fejlődött, és a megfelelő hálózati szabályzat eszköz kiválasztása 2026-ban kulcsfontosságú a fürt biztonsága, teljesítménye és működési hatékonysága szempontjából. Ez az átfogó útmutató elemzi a ma elérhető legjobb hálózati szabályzat megoldásokat, összehasonlítva architektúráikat, funkcióikat, árazásukat és valós teljesítményüket.

Tartalomjegyzék

  1. Bevezetés a Kubernetes Hálózati Szabályzatokba
  2. A Hálózati Szabályzat Környezet 2026-ban
  3. Részletes Eszköz Elemzés
  4. Teljesítmény Benchmarkok
  5. Összehasonlító Táblázatok
  6. Döntési Keretrendszer
  7. Biztonsági Megfontolások
  8. Integrációs Minták
  9. GYIK Rész
  10. Következtetés

Bevezetés a Kubernetes Hálózati Szabályzatokba

A Kubernetes hálózati szabályzatai olyan szabályokat határoznak meg, amelyek irányítják a forgalmat a podok, névterek és külső végpontok között. Alapértelmezetten a Kubernetes minden pod-to-pod kommunikációt engedélyez – ez egy olyan tervezési döntés, amely a kapcsolódást helyezi előtérbe a biztonsággal szemben. A hálózati szabályzatok lehetővé teszik a zero-trust hálózatépítést azáltal, hogy explicit módon meghatározzák az engedélyezett kommunikációs útvonalakat.

Azonban nem minden Container Network Interface (CNI) plugin támogatja a hálózati szabályzatokat. A CNI választása közvetlenül befolyásolja a biztonsági képességeket, teljesítmény karakterisztikákat és működési bonyolultságot.

A Hálózati Szabályzat Környezet 2026-ban

A hálózati szabályzat ökoszisztéma jelentősen érett, és több kulcsfontosságú trend alakítja a környezetet:

  • eBPF elfogadás: A modern megoldások, mint a Cilium, az eBPF technológiát használják a kiváló teljesítmény és a mélyebb kernel integráció érdekében
  • Service mesh integráció: A CNI-k egyre inkább kínálnak beépített service mesh képességeket sidecar overhead nélkül
  • Multi-cloud konzisztencia: A vállalati megoldások a hibrid és multi-cloud telepítések közötti konzisztens szabályzatok biztosítására összpontosítanak
  • Megfigyelhető fókusz: A fejlett flow monitoring és hálózati láthatóság standard elvárássá vált
  • Windows támogatás: Növekvő igény a Windows node támogatásra vállalati környezetekben

Részletes Eszköz Elemzés

1. Calico

Áttekintés: A Calico továbbra is az egyik legszélesebb körben elfogadott hálózati szabályzat megoldás, amely mind nyílt forráskódú, mind vállalati változatokat kínál a Tigera-n keresztül.

Architektúra:

  • BGP-t használ útvonal elosztáshoz a csomópontok között
  • iptables-t vagy eBPF-et használ csomagszűréshez (eBPF mód elérhető v3.13 óta)
  • Felix ügynök fut minden csomóponton szabályzat érvényesítéshez
  • Typha komponens méretezhető datastore hozzáférést biztosít nagy fürtökben

Főbb Funkciók:

  • 3./4. és 7. rétegű hálózati szabályzatok
  • Multi-cluster hálózatépítés
  • Egress átjárók kontrollált külső hozzáféréshez
  • Integráció Istio service mesh-sel
  • Megfelelőségi jelentés és audit képességek
  • Fejlett biztonsági kontrollok (titkosítás, fenyegetés észlelés)

2026 Árazás:

  • Nyílt Forráskód: Ingyenes
  • Calico Cloud (menedzselt szolgáltatás): $0.50/node/óra-tól
  • Calico Enterprise: Egyedi árazás, tipikusan $10,000-50,000+ évente a fürt méretétől függően

Előnyök:

  • Érett, harctérben tesztelt megoldás kiterjedt vállalati elfogadással
  • Kiváló dokumentáció és közösségi támogatás
  • Rugalmas telepítési módok (overlay, host-gateway, cross-subnet)
  • Erős megfelelőségi és audit funkciók a vállalati szinten
  • Működik több felhőszolgáltatón és helyszíni környezetben

Hátrányok:

  • iptables mód teljesítmény szűk keresztmetszetté válhat nagy fürtökben
  • Bonyolult konfiguráció fejlett forgatókönyvekhez
  • Vállalati funkciók fizetős licencelést igényelnek
  • BGP beállítás bonyolultsága bizonyos hálózati környezetekben

Legjobb Használati Esetek:

  • Vállalati környezetek megfelelőségi és audit képességeket igénylő
  • Multi-cloud telepítések konzisztens hálózatépítést igénylő
  • Szervezetek meglévő BGP hálózati infrastruktúrával
  • Fejlett biztonsági kontrollokat igénylő fürtök

2. Cilium

Áttekintés: A Cilium a Kubernetes hálózatépítés következő generációját képviseli, amely alapjaitól fogva eBPF technológiával épült a maximális teljesítmény és mély kernel integráció érdekében.

Architektúra:

  • eBPF-alapú adatsík a kernel térben történő csomagfeldolgozáshoz
  • Helyettesítheti a kube-proxy-t eBPF-alapú terheléselosztással
  • Linux kernel hálózati primitíveket használ az útválasztáshoz
  • Ügynök privilegizált módban fut minden csomóponton
  • Opcionális service mesh képességek sidecar nélkül

Főbb Funkciók:

  • Natív eBPF teljesítmény előnyök
  • 3./4./7. rétegű hálózati szabályzatok HTTP/gRPC/Kafka protokoll tudatossággal
  • Identitás-alapú biztonság (SPIFFE/SPIRE integráció)
  • Cluster mesh multi-cluster kapcsolathoz
  • Átlátszó titkosítás (WireGuard, IPSec)
  • Fejlett megfigyelhető Hubble-lal
  • Beépített service mesh (nincs szükség Envoy sidecar-okra)

2026 Árazás:

  • Nyílt Forráskód: Ingyenes
  • Isovalent Enterprise (Cilium vállalati disztribúció): Egyedi árazás, becsült $15,000-75,000+ évente
  • Menedzselt felhő szolgáltatások: Elérhető főbb felhőszolgáltatókon keresztül

Előnyök:

  • Kiváló teljesítmény az eBPF kernel integráció miatt
  • Legújabb funkciók és gyors fejlesztés
  • Kiváló service mesh integráció sidecar overhead nélkül
  • Erős megfigyelhető és hibakeresési képességek
  • Aktív CNCF projekt növekvő ökoszisztémával

Hátrányok:

  • Modern Linux kerneleket igényel (4.9+ alapfunkciókhoz, 5.4+ ajánlott)
  • Meredekebb tanulási görbe az eBPF-fel nem ismerős csapatok számára
  • Viszonylag újabb a Calico-hoz képest (kevesebb vállalati validáció)
  • Bonyolult hibaelhárítás amikor az eBPF programok meghibásodnak

Legjobb Használati Esetek:

  • Teljesítmény-kritikus környezetek
  • Modern mikroszolgáltatás architektúrák L7 szabályzatokat igénylő
  • Szervezetek beépített service mesh-t akaró sidecar nélkül
  • Cloud-native környezetek modern kernel verziókkal

3. Weave Net

Áttekintés: A Weave Net egyszerű megközelítést nyújt a Kubernetes hálózatépítéshez beépített hálózati szabályzat támogatással és mesh hálózati képességekkel.

Architektúra:

  • Titkosított hálózati overlay-t hoz létre a csomópontok között
  • Kernel csomagfogást és userspace útválasztást használ
  • weave-npc konténer kezeli a hálózati szabályzat érvényesítést
  • Automatikus szolgáltatásfelfedezés és DNS integráció

Főbb Funkciók:

  • Egyszerű telepítés és konfiguráció
  • Automatikus titkosítás a csomópontok között
  • Beépített hálózati szabályzat támogatás
  • Multi-cloud hálózati képességek
  • Integráció Weave Cloud-dal (megszűnt) és más monitoring eszközökkel
  • Támogatás mind overlay, mind host hálózati módokhoz

2026 Árazás:

  • Nyílt Forráskód: Ingyenes
  • Megjegyzés: A Weaveworks 2024-ben beszüntette működését, de a nyílt forráskódú projekt folytatódik közösségi karbantartás alatt

Előnyök:

  • Rendkívül egyszerű beállítás és működtetés
  • Beépített titkosítás további konfiguráció nélkül
  • Jó hálózati szabályzat implementáció
  • Megbízhatóan működik különböző felhő környezetekben
  • Minimális külső függőségek

Hátrányok:

  • Teljesítmény overhead a userspace csomagfeldolgozás miatt
  • Korlátozott vállalati támogatás a Weaveworks bezárását követően
  • Kevésbé funkció-gazdag a Calico vagy Cilium-hoz képest
  • Lassabb fejlesztési ütem közösségi karbantartás alatt

Legjobb Használati Esetek:

  • Kis és közepes méretű fürtök egyszerűséget előnyben részesítő
  • Fejlesztési és tesztelési környezetek
  • Szervezetek alapértelmezetten titkosítást igénylő
  • Csapatok minimális konfigurációs overhead-et preferáló

4. Antrea

Áttekintés: Az Antrea a VMware Kubernetes hálózati megoldása, amely az Open vSwitch (OVS) programozható hálózati képességeit és erős Windows támogatást kihasználja.

Architektúra:

  • Open vSwitch-re épül az adatsík feldolgozáshoz
  • Antrea Agent fut minden csomóponton
  • Antrea Controller központilag kezeli a hálózati szabályzatokat
  • OVS flow táblákat használ csomagfeldolgozáshoz

Főbb Funkciók:

  • Kiváló Windows node támogatás
  • Fejlett hálózati szabályzatok Antrea-specifikus bővítményekkel
  • Forgalom monitoring és flow export képességek
  • Integráció VMware NSX-szel vállalati funkciókhoz
  • Multi-cluster hálózati támogatás
  • ClusterNetworkPolicy és Antrea NetworkPolicy CRD-k kiterjesztett funkcionalitáshoz

2026 Árazás:

  • Nyílt Forráskód: Ingyenes
  • VMware NSX Antrea-val: NSX licencelés része, $15-50 CPU/hó az edition-től függően

Előnyök:

  • Legjobb Windows támogatás
  • Erős integráció VMware ökoszisztémával
  • Fejlett szabályzat képességek a standard NetworkPolicy-n túl
  • Jó teljesítmény karakterisztikák
  • Aktív fejlesztés és vállalati támogatás

Hátrányok:

  • OVS függőség bonyolultságot ad
  • Elsősorban VMware környezetekhez optimalizált
  • Kevesebb közösségi elfogadás a VMware felhasználókon kívül
  • Tanulási görbe az OVS-sel nem ismerős csapatoknak

Legjobb Használati Esetek:

  • Vegyes Windows/Linux Kubernetes fürtök
  • VMware-központú infrastruktúra környezetek
  • Szervezetek fejlett szabályzat funkciókat igénylő
  • Vállalatok már VMware hálózati megoldásokba befektetett

5. Kube-router

Áttekintés: A Kube-router egy könnyűsúlyú hálózati megoldás, amely standard Linux hálózati eszközöket (iptables, IPVS, BGP) használ további overlay hálózatok nélkül.

Architektúra:

  • BGP-t használ pod subnet hirdetéshez
  • IPVS service proxy funkcionalitáshoz
  • iptables hálózati szabályzat érvényesítéshez
  • Közvetlen útválasztás overlay hálózatok nélkül

Főbb Funkciók:

  • Nincs overlay hálózat overhead
  • Standard Linux hálózati primitíveket használ
  • Integrált service proxy, tűzfal és pod hálózatépítés
  • BGP-alapú útvonalhirdetés
  • Alapvető hálózati szabályzat támogatás

2026 Árazás:

  • Nyílt Forráskód: Ingyenes (nincs kereskedelmi ajánlat)

Előnyök:

  • Minimális erőforrás overhead
  • Ismerős Linux hálózati eszközöket használ
  • Nincsenek tulajdonosi komponensek vagy overlay-ek
  • Jó teljesítmény egyszerű hálózati igényekhez
  • Könnyű hibaelhárítás standard eszközökkel

Hátrányök:

  • Korlátozott hálózati szabályzat funkciók más megoldásokhoz képest
  • Kevésbé alkalmas bonyolult multi-cluster forgatókönyvekhez
  • BGP ismeretet igényel fejlett konfigurációkhoz
  • Minimális vállalati funkciók vagy támogatási opciók

Legjobb Használati Esetek:

  • Erőforrás-korlátozott környezetek
  • Egyszerű hálózati igények alapvető biztonsággal
  • Szervezetek standard Linux hálózatépítést preferáló
  • Fejlesztési fürtök minimális szabályzat igényekkel

6. Flannel Hálózati Szabályzat Kiegészítőkkel

Áttekintés: A Flannel egy egyszerű overlay hálózat, amely hagyományosan nem támogatja natívan a hálózati szabályzatokat, de kiegészíthető további szabályzat motorokkal.

Architektúra:

  • Overlay hálózatot hoz létre VXLAN vagy host-gw backend használatával
  • További komponenseket igényel (mint a Calico szabályzat motor) hálózati szabályzat támogatáshoz
  • Canal kombinálja a Flannel hálózatépítést Calico szabályzatokkal

Főbb Funkciók:

  • Rendkívül egyszerű hálózatépítés beállítás
  • Többféle backend opció (VXLAN, host-gw, AWS VPC, GCE)
  • Kombinálható más szabályzat motorokkal (Canal = Flannel + Calico)

2026 Árazás:

  • Nyílt Forráskód: Ingyenes
  • Canal (Flannel + Calico): Ingyenes nyílt forráskód, vállalati Calico funkciók elérhetők Tigera-n keresztül

Előnyök:

  • Minimális konfiguráció szükséges
  • Stabil és széles körben használt
  • Rugalmas backend opciók
  • Kiegészíthető más szabályzat motorokkal

Hátrányok:

  • Nincs natív hálózati szabályzat támogatás
  • További bonyolultság szabályzat motorok hozzáadásakor
  • Korlátozott fejlett hálózati funkciók
  • Overlay hálózatépítés teljesítmény overhead

Legjobb Használati Esetek:

  • Zöldmezős telepítések ahol az egyszerűség a legfontosabb
  • Fejlesztési környezetek minimális biztonsági igényekkel
  • Legacy alkalmazások stabil hálózatépítést igénylő
  • Canal-lal kombinálva szabályzat támogatásért

7. Kubernetes Natív NetworkPolicy

Áttekintés: A beépített Kubernetes NetworkPolicy erőforrás standard API-t nyújt a hálózati szabályzatok definiálásához, de olyan CNI-t igényel, amely implementálja a specifikációt.

Főbb Funkciók:

  • Szabványosított API minden hálózati szabályzat implementáción keresztül
  • Ingress és egress szabály definíciók
  • Pod, névtér és IP blokk szelektorok
  • Port és protokoll specifikációk

Implementációs Követelmények:

  • Szabályzat-képes CNI-vel kell párosítani
  • A szabályzatokat a CNI érvényesíti, nem a Kubernetes maga
  • Korlátozott 3./4. rétegű szabályokra (nincs 7. rétegű képesség a standard spec-ben)

Teljesítmény Benchmarkok

A teljesítmény karakterisztikák jelentősen változnak a hálózati szabályzat eszközök között. Elérhető benchmarkok és közösségi jelentések alapján:

Átviteli Teljesítmény

A Cilium hivatalos benchmarkjai szerint:

  • Cilium (eBPF mód): Közel natív hálózati teljesítményt érhet el, néha meghaladja a node-to-node baseline-t kernel optimalizációk miatt
  • Calico (eBPF mód): Jelentős javulás az iptables móddal szemben, megközelíti a Cilium teljesítmény szinteket
  • Calico (iptables mód): Jó teljesítmény közepes skáláig, romlás több ezer szabályzattal

arxiv.org teljesítmény értékelési tanulmány alapján:

  • Cilium: Átlagos 10% CPU kihasználtság hálózati műveletek alatt
  • Calico/Kube-router: Átlagos 25% CPU fogyasztás hasonló munkaterhelések alatt

Késleltetési Karakterisztikák

  • eBPF-alapú megoldások (Cilium, Calico eBPF): Mikroszekundum alatti szabályzat értékelés
  • iptables-alapú megoldások: Lineáris késleltetés növekedés szabályzat számmal
  • OVS-alapú megoldások (Antrea): Konzisztens késleltetés flow tábla feldolgozáson keresztül

Skálázhatósági Metrikák

  • Cilium: Tesztelve 5,000+ csomóponttal és 100,000+ pod-dal
  • Calico: Bizonyított telepítésekben több mint 1,000 csomóponttal
  • Weave Net: Ajánlott 500 csomópont alatti fürtökhöz
  • Antrea: Jó skálázhatóság OVS optimalizációkkal

Megjegyzés: A teljesítmény jelentősen változik a kernel verzió, hardver és specifikus konfiguráció alapján. Mindig benchmark-oljátok a saját környezetekben.

Összehasonlító Táblázatok

Funkció Összehasonlítási Mátrix

FunkcióCalicoCiliumWeave NetAntreaKube-routerFlannel
Hálózati SzabályzatokAlapvető❌*
7. Rétegű Szabályzatok✅ (Enterprise)
eBPF Támogatás✅ (Natív)
Service Mesh✅ (Istio-val)✅ (Beépített)
Windows TámogatásKorlátozott
Titkosítás✅ (Beépített)
Multi-cluster
Megfigyelhetőség✅ (Enterprise)✅ (Hubble)AlapvetőAlapvető

*A Flannel támogathat szabályzatokat Canal-lal kombinálva (Flannel + Calico)

Teljesítmény Összehasonlítás

MegoldásÁtvitelCPU OverheadMemória HasználatSkálázhatóság
Cilium (eBPF)KiválóAlacsony (10%)KözepesNagyon Magas
Calico (eBPF)Nagyon JóAlacsony-KözepesKözepesMagas
Calico (iptables)Közepes (25%)AlacsonyKözepes
Weave NetElfogadhatóKözepesKözepesKözepes
AntreaAlacsony-KözepesKözepesMagas
Kube-routerKözepes (25%)AlacsonyKözepes
FlannelAlacsonyAlacsonyKözepes

Árazás Áttekintés (2026)

MegoldásNyílt ForráskódEnterprise/MenedzseltCélfelhasználók
CalicoIngyenes$0.50/node/óra (Cloud)Minden méret
CiliumIngyenes~$15k-75k/év (Becsült)Közepes-Nagy
Weave NetIngyenesN/A (Közösségi)Kis-Közepes
AntreaIngyenesNSX-ben benneVMware környezetek
Kube-routerIngyenesN/AKis fürtök
FlannelIngyenesN/AFejlesztés/Egyszerű

Döntési Keretrendszer

A megfelelő hálózati szabályzat eszköz kiválasztása több tényezőtől függ. Használjátok ezt a keretrendszert a döntés irányításához:

1. Fürt Méret és Skála Követelmények

Kis Fürtök (< 50 csomópont):

  • Weave Net: Egyszerűség beépített titkosítással
  • Flannel: Minimális overhead alapvető hálózatépítéshez
  • Kube-router: Standard Linux hálózati eszközök

Közepes Fürtök (50-500 csomópont):

  • Calico: Érett megoldás vállalati opciókkal
  • Cilium: Modern teljesítmény eBPF-fel
  • Antrea: Ha Windows csomópontok szükségesek

Nagy Fürtök (500+ csomópont):

  • Cilium: Kiváló eBPF teljesítmény és skálázhatóság
  • Calico (eBPF mód): Vállalati funkciók jó teljesítménnyel

2. Biztonsági Követelmények Értékelése

Alapvető Hálózati Izoláció:

  • Bármely szabályzat-képes CNI megfelel a követelményeknek
  • Fontoljátok meg a működési bonyolultság vs. biztonsági igények közötti egyensúlyt

Fejlett Biztonsági Kontrollok:

  • Calico Enterprise: Megfelelőség, audit, fenyegetés észlelés
  • Cilium: Identitás-alapú biztonság, L7 szabályzat granularitás
  • Antrea: Kiterjesztett szabályzat képességek

Zero-Trust Hálózatépítés:

  • Cilium: Beépített identitás és service mesh
  • Calico: Integráció service mesh megoldásokkal

3. Teljesítmény Prioritások

Maximális Átvitel:

  1. Cilium (eBPF natív)
  2. Calico (eBPF mód)
  3. Antrea (OVS optimalizáció)

Legalacsonyabb Erőforrás Overhead:

  1. Kube-router (minimális komponensek)
  2. Flannel (egyszerű overlay)
  3. Cilium (hatékony eBPF)

4. Működési Megfontolások

Egyszerűség Prioritás:

  1. Weave Net (automatikus titkosítás, minimális konfig)
  2. Flannel (alapvető overlay hálózatépítés)
  3. Calico (kiterjedt dokumentáció)

Vállalati Támogatási Igények:

  1. Calico (Tigera támogatás és szolgáltatások)
  2. Antrea (VMware vállalati támogatás)
  3. Cilium (Isovalent vállalati disztribúció)

5. Platform és Integrációs Követelmények

Multi-Cloud Telepítések:

  • Calico: Konzisztens élmény felhőkön keresztül
  • Cilium: Növekvő felhőszolgáltató integráció

VMware Környezetek:

  • Antrea: Natív VMware integráció és optimalizáció

Windows Munkaterhelések:

  • Antrea: Legjobb Windows támogatás
  • Calico: Jó Windows képességek

Service Mesh Integráció:

  • Cilium: Beépített service mesh sidecar nélkül
  • Calico: Kiváló Istio integráció

Biztonsági Megfontolások

A hálózati szabályzat implementáció közvetlenül befolyásolja a fürt biztonsági helyzetét. Kulcsfontosságú biztonsági megfontolások:

Alapértelmezett Biztonsági Helyzet

Zero-Trust Implementáció:

  • Kezdjétek deny-all szabályzatokkal és explicit módon engedélyezzétek a szükséges forgalmat
  • Használjátok a névtér izolációt alapként
  • Implementáljatok ingress és egress kontrollokat

7. Rétegű Biztonság:

  • Cilium és Calico Enterprise HTTP/gRPC protokoll tudatosságot nyújtanak
  • Antrea kiterjesztett szabályzat képességeket kínál alkalmazási protokollokhoz
  • Fontoljátok meg az API-szintű biztonságot érzékeny munkaterhelésekhez

Titkosítás és Adatvédelem

Átviteli Titkosítás:

  • Weave Net: Beépített titkosítás alapértelmezetten
  • Cilium: WireGuard és IPSec opciók
  • Calico: Vállalati titkosítási funkciók
  • Fontoljátok meg a titkosítás teljesítmény hatását

Identitás és Hitelesítés:

  • Cilium: SPIFFE/SPIRE integráció munkaterhelés identitáshoz
  • Calico: Integráció identitás szolgáltatókkal
  • Implementáljatok mutual TLS-t ahol szükséges

Megfelelőség és Auditálás

Szabályozási Követelmények:

  • Calico Enterprise: Beépített megfelelőségi jelentés
  • Minden megoldás: Hálózati flow naplózási képességek
  • Fontoljátok meg az adatok tartózkodási helyét és szuverenitási követelményeket

Audit és Monitoring:

  • Implementáljatok hálózati flow monitoring-ot minden szabályzat változáshoz
  • Használjatok megfigyelhetőség eszközöket (Hubble, Calico Enterprise UI) láthatósághoz
  • Tartsátok fenn a szabályzat változások audit nyomvonalát

Fenyegetés Észlelés és Reagálás

Anomália Észlelés:

  • Monitorozzátok a váratlan forgalmi mintákat
  • Implementáljatok riasztást szabályzat megsértésekre
  • Használjatok hálózati megfigyelhetőséget forensic elemzéshez

Incidens Reagálás:

  • Készítsetek playbook-okat hálózati biztonsági incidensekre
  • Teszteljétek a szabályzat érvényesítést katasztrófa forgatókönyvekben
  • Tartsátok fenn a hálózati szegmentációt biztonsági események alatt

Integrációs Minták

Service Mesh Integráció

Cilium + Beépített Service Mesh:

# Cilium service mesh funkciók engedélyezése
apiVersion: v1
kind: ConfigMap
metadata:
  name: cilium-config
data:
  enable-l7-proxy: "true"
  enable-remote-node-identity: "true"

Calico + Istio Integráció:

# Calico szabályzat Istio service mesh-hez
apiVersion: projectcalico.org/v3
kind: NetworkPolicy
metadata:
  name: istio-integration
spec:
  selector: app == "productpage"
  ingress:
  - action: Allow
    source:
      serviceAccounts:
        selector: app == "istio-proxy"

Multi-Cluster Hálózatépítés

Cilium Cluster Mesh:

apiVersion: cilium.io/v2alpha1
kind: CiliumClusterConfig
metadata:
  name: cluster-mesh-config
spec:
  cluster:
    name: production-west
    id: 1
  nodes:
  - name: cluster-east
    address: "10.0.0.1"

Calico Multi-Cluster Beállítás:

apiVersion: projectcalico.org/v3
kind: RemoteClusterConfiguration
metadata:
  name: remote-cluster
spec:
  clusterAccessSecret: remote-cluster-secret
  tunnelIPs: ["192.168.1.0/24"]

Megfigyelhetőség Integráció

Prometheus Monitoring:

# ServiceMonitor CNI metrikákhoz
apiVersion: monitoring.coreos.com/v1
kind: ServiceMonitor
metadata:
  name: cilium-metrics
spec:
  selector:
    matchLabels:
      app: cilium
  endpoints:
  - port: prometheus
    interval: 30s

Flow Naplózás Konfiguráció:

# Hubble flow naplózás Cilium-hoz
apiVersion: v1
kind: ConfigMap
metadata:
  name: hubble-config
data:
  enable-hubble: "true"
  hubble-flow-buffer-size: "4095"
  hubble-metrics: "dns,drop,tcp,flow,port-distribution"

GYIK Rész

Általános Hálózati Szabályzat Kérdések

K: Szükségem van specifikus CNI-re a Kubernetes NetworkPolicies használatához? V: Igen, a NetworkPolicies csak API erőforrások a Kubernetes-ben. Olyan CNI-re van szükség, amely implementálja a hálózati szabályzat érvényesítést. A standard CNI-k mint a Flannel nem támogatják a szabályzatokat, míg a Calico, Cilium, Weave Net és Antrea igen.

K: Változtathatok CNI-t egy meglévő fürtben? V: A CNI váltás tipikusan fürt leállást és gondos migrációs tervezést igényel. Általában könnyebb új fürtöt létrehozni a kívánt CNI-vel és átvinni a munkaterheléseket. Néhány menedzselt szolgáltatás kínál CNI frissítéseket (mint az Azure CNI-ről Cilium-ra).

K: Mi történik ha alkalmazok NetworkPolicy-t, de a CNI-m nem támogatja? V: A szabályzatot elfogadja a Kubernetes API, de nem lesz érvényesítve. A forgalom továbbra is úgy folyik, mintha nem lennének szabályzatok, ami hamis biztonságérzetet kelt.

Teljesítmény és Skálázhatóság

K: A hálózati szabályzatok engedélyezése befolyásolja a teljesítményt? V: Igen, a szabályzat értékelés overhead-et ad. Az eBPF-alapú megoldások (Cilium, Calico eBPF mód) minimális hatással vannak, míg az iptables-alapú implementációk romlhatnak nagy szabályzat számmal. A modern megoldások éles munkaterhelésekre optimalizáltak.

K: Hány hálózati szabályzatom lehet egy fürtben? V: Ez függ a CNI-től és fürt mérettől. A Cilium és Calico Enterprise hatékonyan kezel több ezer szabályzatot. Az iptables-alapú implementációk teljesítményromlást mutathatnak 100-500 szabályzat felett csomópontonként.

K: Használjam-e a 7. rétegű szabályzatokat élesben? V: A 7. rétegű szabályzatok finomhangolt kontrollt biztosítanak, de feldolgozási overhead-et és bonyolultságot adnak. Használjátok őket kritikus biztonsági határokhoz és API-szintű kontrollokhoz, ne széles forgalomszűréshez, ahol a 3./4. rétegű szabályzatok elegendők.

Biztonság és Megfelelőség

K: Elegendők-e a hálózati szabályzatok zero-trust biztonsághoz? V: A hálózati szabályzatok a zero-trust architektúra egyik komponensei. Szükséges még munkaterhelés identitás, titkosítás, audit naplózás és alkalmazás-szintű biztonsági kontrollok. Tekintsetek rájuk hálózat-szintű hozzáférés kontrollként, nem teljes biztonságként.

K: Hogyan végezzek hibakeresést hálózati szabályzat problémákon? V: A legtöbb CNI biztosít eszközöket szabályzat hibakereséshez:

  • Cilium: cilium monitor, Hubble UI
  • Calico: calicoctl get networkpolicy, flow naplók
  • Használjatok kubectl describe networkpolicy-t a szabályzat szintaxis ellenőrzéséhez
  • Teszteljétek a kapcsolódást diagnosztikai podokkal

K: Védhetnek-e a hálózati szabályzatok rosszindulatú konténer szökések ellen? V: A hálózati szabályzatok a hálózati forgalmat kontrollálják, nem a konténer izolációt. Korlátozhatják a károk terjedését egy konténer szökés után, de nem akadályozzák meg magát a szökést. Kombináljátok Pod Security Standards-szel, admission kontrollerekkel és runtime biztonsági eszközökkel.

Eszköz-specifikus Kérdések

K: Válasszam a Calico-t vagy Cilium-ot új telepítéshez? V: Fontoljátok meg ezeket a tényezőket:

  • Válasszátok a Cilium-ot ha: Élvonalbeli eBPF teljesítményt, beépített service mesh-t vagy modern kernel környezeteket akartok
  • Válasszátok a Calico-t ha: Bizonyított vállalati funkciókat, kiterjedt dokumentációt vagy támogatást akartok különböző környezetekben
  • Mindkettő kiváló választás a legtöbb használati esethez

K: Még életképes-e a Weave Net a Weaveworks bezárása után? V: A Weave Net nyílt forráskódú projektként folytatódik közösségi karbantartás alatt. Stabil a meglévő telepítésekhez, de fontoljátok meg alternatívákat új projektekhez a csökkent fejlesztési ütem és vállalati támogatás miatt.

K: Mikor fontoljam meg az Antrea-t más opciók helyett? V: Válasszátok az Antrea-t ha:

  • Vegyes Windows/Linux Kubernetes környezetetek van
  • Meglévő VMware infrastruktúra befektetésetek van
  • OVS-alapú hálózati funkciókra van szükségetek
  • A standard NetworkPolicy-n túli fejlett szabályzat képességekre van szükségetek

Migráció és Műveletek

K: Hogyan migráljak egyik CNI-ről a másikra? V: A CNI migráció tipikusan a következőket igényli:

  1. Tervezés karbantartási ablak alatt
  2. Meglévő hálózati konfigurációk mentése
  3. Csomópontok drain-elése és újrakonfigurálása új CNI-vel
  4. Hálózati szabályzatok frissítése új CNI formátumra (ha alkalmazható)
  5. Kapcsolódás alapos tesztelése

Fontoljátok meg a blue-green fürt migrációt zéró leállásidős átmenetekhez.

K: Futtathatok több CNI-t ugyanabban a fürtben? V: A Kubernetes fürtönként csak egy CNI-t támogat. Azonban néhány CNI támogat több adatsíkot (mint a Calico, amely támogatja az iptables és eBPF módokat egyidejűleg).

K: Milyen gyakran frissítsem a CNI-mat? V: Kövessétek ezeket az irányelveket:

  • Biztonsági frissítések: Azonnal alkalmazzátok
  • Funkció frissítések: Tervezzetek negyedéves frissítéseket
  • Főverziók: Alaposan teszteljétek staging-ben először
  • Monitorozzátok a CNI projekt kiadási ütemét és biztonsági tanácsadásokat

Következtetés

A legjobb hálózati szabályzat eszköz kiválasztása Kubernetes-hez 2026-ban a teljesítmény, biztonság, működési bonyolultság és költség megfontolások egyensúlyát igényli. A környezet jelentősen fejlődött, az eBPF-alapú megoldások vezetik a teljesítmény javulásokat, míg a hagyományos megoldások folytatják vállalati ajánlataik érlelését.

Főbb Ajánlások:

Maximális Teljesítményhez és Modern Funkciókhoz: A Cilium élvonalbeli eBPF technológiát kínál beépített service mesh képességekkel, ideálissá téve teljesítmény-kritikus és cloud-native környezetekhez.

Vállalati Megbízhatósághoz és Támogatáshoz: A Calico harctérben tesztelt stabilitást nyújt átfogó vállalati funkciókkal, kiterjedt dokumentációval és bizonyított skálázhatósággal különböző környezetekben.

Egyszerűséghez és Alapvető Követelményekhez: A Weave Net egyszerű beállítást kínál beépített titkosítással, bár fontoljátok meg a hosszú távú karbantartási vonatkozásokat.

VMware Környezetekhez: Az Antrea a legjobb integrációt nyújtja VMware infrastruktúrával és kiváló Windows támogatással.

Erőforrás-korlátozott Telepítésekhez: A Kube-router minimális overhead-et kínál standard Linux hálózati eszközök használatával.

A hálózati szabályzat ökoszisztéma gyorsan fejlődik tovább. Maradjatok tájékozottak a választott megoldásotok ütemtervéről, biztonsági frissítéseiről és közösségi fejlesztéseiről. A legfontosabb, alaposan teszteljetek a saját környezetetekben – a teljesítmény és működési karakterisztikák jelentősen változhatnak az infrastruktúra, alkalmazások és követelmények alapján.

Emlékezzetek, hogy a hálózati szabályzatok csak a Kubernetes biztonság egyik rétegei. Kombináljátok őket Pod Security Standards-szel, admission kontrollerekkel, runtime védelemmel és átfogó megfigyelhetőséggel a mélységi védelem biztonsági helyzet érdekében.

További Kubernetes biztonsági betekintéseket kerestek? Kövessétek blogunk-at a cloud-native biztonsági eszközök és bevált gyakorlatok legújabb elemzéseiért.

Kulcsszavak: Legjobb Hálózati Szabályzat Eszközök Kubernetes 2026, kubernetes hálózati szabályzat összehasonlítás, calico vs cilium teljesítmény, legjobb cni biztonsághoz, Kubernetes hálózati biztonság, CNI összehasonlítás 2026, hálózati szabályzat érvényesítés, eBPF hálózatépítés, Kubernetes zero-trust