Alat Network Policy Terbaik untuk Kubernetes 2026 — Calico vs Cilium vs Weave Net: Panduan Perbandingan Lengkap

Diterbitkan 17 Februari 2026 oleh Yaya Hanayagi

Keselamatan rangkaian Kubernetes telah berkembang dengan ketara, dan memilih alat network policy yang betul pada 2026 adalah penting untuk keselamatan kluster, prestasi, dan kecekapan operasi. Panduan komprehensif ini menganalisis penyelesaian network policy terbaik yang tersedia hari ini, membandingkan seni bina, ciri-ciri, harga, dan prestasi dunia sebenar mereka.

Kandungan

  1. Pengenalan kepada Network Policy Kubernetes
  2. Landskap Network Policy pada 2026
  3. Analisis Alat Terperinci
  4. Penanda Aras Prestasi
  5. Jadual Perbandingan
  6. Kerangka Keputusan
  7. Pertimbangan Keselamatan
  8. Corak Integrasi
  9. Bahagian FAQ
  10. Kesimpulan

Pengenalan kepada Network Policy Kubernetes

Network policy di Kubernetes mentakrifkan peraturan yang mengawal aliran trafik antara pod, namespace, dan endpoint luaran. Secara lalai, Kubernetes membenarkan semua komunikasi pod-ke-pod—reka bentuk yang mengutamakan ketersambungan berbanding keselamatan. Network policy membolehkan zero-trust networking dengan mentakrifkan laluan komunikasi yang dibenarkan secara eksplisit.

Walau bagaimanapun, tidak semua plugin Container Network Interface (CNI) menyokong network policy. Pilihan CNI secara langsung mempengaruhi keupayaan keselamatan, ciri prestasi, dan kerumitan operasi anda.

Landskap Network Policy pada 2026

Ekosistem network policy telah berkembang dengan ketara, dengan beberapa trend utama membentuk landskap:

  • Penggunaan eBPF: Penyelesaian moden seperti Cilium memanfaatkan eBPF untuk prestasi unggul dan integrasi kernel yang lebih mendalam
  • Integrasi service mesh: CNI semakin menawarkan keupayaan service mesh terbina dalam tanpa overhed sidecar
  • Konsistensi multi-cloud: Penyelesaian enterprise fokus pada penyediaan policy yang konsisten merentas deployment hibrid dan multi-cloud
  • Fokus kebolehmerhatan: Pemantauan aliran lanjutan dan keterlihatan rangkaian telah menjadi jangkaan standard
  • Sokongan Windows: Permintaan yang meningkat untuk sokongan nod Windows dalam persekitaran enterprise

Analisis Alat Terperinci

1. Calico

Ringkasan: Calico kekal sebagai salah satu penyelesaian network policy yang paling banyak diguna pakai, menawarkan varian sumber terbuka dan enterprise melalui Tigera.

Seni Bina:

  • Menggunakan BGP untuk pengedaran laluan antara nod
  • Menggunakan iptables atau eBPF untuk penapisan paket (mod eBPF tersedia sejak v3.13)
  • Agen Felix berjalan pada setiap nod untuk penguatkuasaan policy
  • Komponen Typha menyediakan akses datastore yang boleh skala untuk kluster besar

Ciri Utama:

  • Network policy Lapisan 3/4 dan Lapisan 7
  • Rangkaian multi-kluster
  • Gateway keluar untuk akses luaran yang terkawal
  • Integrasi dengan service mesh Istio
  • Laporan pematuhan dan keupayaan audit
  • Kawalan keselamatan lanjutan (enkripsi, pengesanan ancaman)

Harga 2026:

  • Sumber Terbuka: Percuma
  • Calico Cloud (perkhidmatan terurus): Bermula dari $0.50 per nod/jam
  • Calico Enterprise: Harga tersuai, biasanya $10,000-50,000+ tahunan bergantung pada saiz kluster

Kelebihan:

  • Penyelesaian matang dan teruji dengan penggunaan enterprise yang luas
  • Dokumentasi dan sokongan komuniti yang sangat baik
  • Mod deployment yang fleksibel (overlay, host-gateway, cross-subnet)
  • Ciri pematuhan dan audit yang kuat di peringkat enterprise
  • Berfungsi merentas berbagai penyedia awan dan on-premises

Kelemahan:

  • Mod iptables boleh menjadi kesesakan prestasi dalam kluster besar
  • Konfigurasi kompleks untuk senario lanjutan
  • Ciri enterprise memerlukan perlesenan berbayar
  • Kerumitan persediaan BGP dalam sesetengah persekitaran rangkaian

Kes Penggunaan Terbaik:

  • Persekitaran enterprise yang memerlukan keupayaan pematuhan dan audit
  • Deployment multi-cloud yang memerlukan rangkaian yang konsisten
  • Organisasi dengan infrastruktur rangkaian BGP sedia ada
  • Kluster yang memerlukan kawalan keselamatan lanjutan

2. Cilium

Ringkasan: Cilium mewakili generasi seterusnya rangkaian Kubernetes, dibina dari awal dengan teknologi eBPF untuk prestasi maksimum dan integrasi kernel yang mendalam.

Seni Bina:

  • Data plane berasaskan eBPF untuk pemprosesan paket dalam ruang kernel
  • Boleh menggantikan kube-proxy dengan pengimbangan beban berasaskan eBPF
  • Menggunakan primitif rangkaian kernel Linux untuk penghalaan
  • Agen berjalan dalam mod istimewa pada setiap nod
  • Keupayaan service mesh pilihan tanpa sidecar

Ciri Utama:

  • Kelebihan prestasi natif eBPF
  • Network policy Lapisan 3/4/7 dengan kesedaran protokol HTTP/gRPC/Kafka
  • Keselamatan berasaskan identiti (integrasi SPIFFE/SPIRE)
  • Mesh kluster untuk ketersambungan multi-kluster
  • Enkripsi telus (WireGuard, IPSec)
  • Kebolehmerhatan lanjutan dengan Hubble
  • Service mesh terbina dalam (tidak perlu sidecar Envoy)

Harga 2026:

  • Sumber Terbuka: Percuma
  • Isovalent Enterprise (pengedaran enterprise Cilium): Harga tersuai, dianggarkan $15,000-75,000+ tahunan
  • Perkhidmatan awan terurus: Tersedia melalui penyedia awan utama

Kelebihan:

  • Prestasi unggul kerana integrasi kernel eBPF
  • Ciri canggih dan pembangunan pantas
  • Integrasi service mesh yang sangat baik tanpa overhed sidecar
  • Keupayaan kebolehmerhatan dan penyahpepijatan yang kuat
  • Projek CNCF aktif dengan ekosistem yang berkembang

Kelemahan:

  • Memerlukan kernel Linux moden (4.9+ untuk ciri asas, 5.4+ disyorkan)
  • Keluk pembelajaran yang lebih curam untuk pasukan yang tidak biasa dengan eBPF
  • Relatif lebih baru berbanding Calico (kurang pengesahan enterprise)
  • Penyahpepijatan yang kompleks apabila program eBPF tidak berfungsi

Kes Penggunaan Terbaik:

  • Persekitaran kritikal prestasi
  • Seni bina mikroperkhidmatan moden yang memerlukan policy L7
  • Organisasi yang mahukan service mesh terbina dalam tanpa sidecar
  • Persekitaran cloud-native dengan versi kernel moden

3. Weave Net

Ringkasan: Weave Net menyediakan pendekatan mudah untuk rangkaian Kubernetes dengan sokongan network policy terbina dalam dan keupayaan rangkaian mesh.

Seni Bina:

  • Mencipta overlay rangkaian yang dienkripsi antara nod
  • Menggunakan tangkapan paket kernel dan penghalaan ruang pengguna
  • Bekas weave-npc mengendalikan penguatkuasaan network policy
  • Penemuan perkhidmatan automatik dan integrasi DNS

Ciri Utama:

  • Pemasangan dan konfigurasi yang mudah
  • Enkripsi automatik antara nod
  • Sokongan network policy terbina dalam
  • Keupayaan rangkaian multi-cloud
  • Integrasi dengan Weave Cloud (dihentikan) dan alat pemantauan lain
  • Sokongan untuk mod overlay dan rangkaian hos

Harga 2026:

  • Sumber Terbuka: Percuma
  • Nota: Weaveworks berhenti beroperasi pada 2024, tetapi projek sumber terbuka diteruskan di bawah penyelenggaraan komuniti

Kelebihan:

  • Persediaan dan operasi yang sangat mudah
  • Enkripsi terbina dalam tanpa konfigurasi tambahan
  • Pelaksanaan network policy yang baik
  • Berfungsi dengan boleh dipercayai merentas persekitaran awan yang berbeza
  • Kebergantungan luaran yang minimum

Kelemahan:

  • Overhed prestasi kerana pemprosesan paket ruang pengguna
  • Sokongan enterprise terhad selepas penutupan Weaveworks
  • Kurang kaya ciri berbanding Calico atau Cilium
  • Kelajuan pembangunan lebih perlahan di bawah penyelenggaraan komuniti

Kes Penggunaan Terbaik:

  • Kluster kecil hingga sederhana yang mengutamakan kesederhanaan
  • Persekitaran pembangunan dan ujian
  • Organisasi yang memerlukan enkripsi secara lalai
  • Pasukan yang lebih suka overhed konfigurasi minimum

4. Antrea

Ringkasan: Antrea adalah penyelesaian rangkaian Kubernetes VMware, memanfaatkan Open vSwitch (OVS) untuk keupayaan rangkaian boleh program dan sokongan Windows yang kuat.

Seni Bina:

  • Dibina di atas Open vSwitch untuk pemprosesan data plane
  • Antrea Agent berjalan pada setiap nod
  • Antrea Controller menguruskan network policy secara berpusat
  • Menggunakan jadual aliran OVS untuk pemprosesan paket

Ciri Utama:

  • Sokongan nod Windows yang sangat baik
  • Network policy lanjutan termasuk sambungan khusus Antrea
  • Keupayaan pemantauan trafik dan eksport aliran
  • Integrasi dengan VMware NSX untuk ciri enterprise
  • Sokongan rangkaian multi-kluster
  • CRD ClusterNetworkPolicy dan Antrea NetworkPolicy untuk fungsi lanjutan

Harga 2026:

  • Sumber Terbuka: Percuma
  • VMware NSX dengan Antrea: Sebahagian daripada pelesenan NSX, $15-50 per CPU bulanan bergantung pada edisi

Kelebihan:

  • Sokongan Windows terbaik dalam kelas
  • Integrasi yang kuat dengan ekosistem VMware
  • Keupayaan policy lanjutan melebihi NetworkPolicy standard
  • Ciri prestasi yang baik
  • Pembangunan aktif dan sokongan enterprise

Kelemahan:

  • Kebergantungan OVS menambah kerumitan
  • Terutamanya dioptimumkan untuk persekitaran VMware
  • Kurang penggunaan komuniti di luar pengguna VMware
  • Keluk pembelajaran untuk pasukan yang tidak biasa dengan OVS

Kes Penggunaan Terbaik:

  • Kluster Kubernetes campuran Windows/Linux
  • Persekitaran infrastruktur berpusatkan VMware
  • Organisasi yang memerlukan ciri policy lanjutan
  • Enterprise yang sudah melabur dalam penyelesaian rangkaian VMware

5. Kube-router

Ringkasan: Kube-router adalah penyelesaian rangkaian ringan yang menggunakan alat rangkaian Linux standard (iptables, IPVS, BGP) tanpa memerlukan rangkaian overlay tambahan.

Seni Bina:

  • Menggunakan BGP untuk pengiklanan subnet pod
  • IPVS untuk fungsi proksi perkhidmatan
  • iptables untuk penguatkuasaan network policy
  • Penghalaan langsung tanpa rangkaian overlay

Ciri Utama:

  • Tiada overhed rangkaian overlay
  • Menggunakan primitif rangkaian Linux standard
  • Proksi perkhidmatan, firewall, dan rangkaian pod bersepadu
  • Pengiklanan laluan berasaskan BGP
  • Sokongan network policy asas

Harga 2026:

  • Sumber Terbuka: Percuma (tiada penawaran komersial)

Kelebihan:

  • Overhed sumber minimum
  • Menggunakan alat rangkaian Linux yang biasa
  • Tiada komponen proprietari atau overlay
  • Prestasi baik untuk keperluan rangkaian mudah
  • Penyahpepijatan mudah dengan alat standard

Kelemahan:

  • Ciri network policy terhad berbanding penyelesaian lain
  • Kurang sesuai untuk senario multi-kluster yang kompleks
  • Memerlukan pengetahuan BGP untuk konfigurasi lanjutan
  • Ciri atau pilihan sokongan enterprise minimum

Kes Penggunaan Terbaik:

  • Persekitaran dengan sumber terhad
  • Keperluan rangkaian mudah dengan keselamatan asas
  • Organisasi yang lebih suka rangkaian Linux standard
  • Kluster pembangunan dengan keperluan policy minimum

6. Flannel dengan Add-on Network Policy

Ringkasan: Flannel adalah rangkaian overlay mudah yang secara tradisinya tidak menyokong network policy secara natif, tetapi boleh dipertingkatkan dengan enjin policy tambahan.

Seni Bina:

  • Mencipta rangkaian overlay menggunakan backend VXLAN atau host-gw
  • Memerlukan komponen tambahan (seperti enjin policy Calico) untuk sokongan network policy
  • Canal menggabungkan rangkaian Flannel dengan policy Calico

Ciri Utama:

  • Persediaan rangkaian yang sangat mudah
  • Berbagai pilihan backend (VXLAN, host-gw, AWS VPC, GCE)
  • Boleh digabungkan dengan enjin policy lain (Canal = Flannel + Calico)

Harga 2026:

  • Sumber Terbuka: Percuma
  • Canal (Flannel + Calico): Sumber terbuka percuma, ciri enterprise Calico tersedia melalui Tigera

Kelebihan:

  • Konfigurasi minimum diperlukan
  • Stabil dan banyak digunakan
  • Pilihan backend yang fleksibel
  • Boleh dipertingkatkan dengan enjin policy lain

Kelemahan:

  • Tiada sokongan network policy natif
  • Kerumitan tambahan apabila menambah enjin policy
  • Ciri rangkaian lanjutan terhad
  • Overhed prestasi rangkaian overlay

Kes Penggunaan Terbaik:

  • Deployment greenfield di mana kesederhanaan adalah utama
  • Persekitaran pembangunan dengan keperluan keselamatan minimum
  • Aplikasi warisan yang memerlukan rangkaian stabil
  • Apabila digabungkan dengan Canal untuk sokongan policy

7. Kubernetes Native NetworkPolicy

Ringkasan: Sumber NetworkPolicy terbina dalam Kubernetes menyediakan API standard untuk mentakrifkan network policy, tetapi memerlukan CNI yang melaksanakan spesifikasi.

Ciri Utama:

  • API standard merentas semua pelaksanaan network policy
  • Takrifan peraturan masuk dan keluar
  • Pemilih pod, namespace, dan blok IP
  • Spesifikasi port dan protokol

Keperluan Pelaksanaan:

  • Mesti dipasangkan dengan CNI berkemampuan policy
  • Policy dikuatkuasakan oleh CNI, bukan Kubernetes sendiri
  • Terhad kepada peraturan Lapisan 3/4 (tiada keupayaan Lapisan 7 dalam spec standard)

Penanda Aras Prestasi

Ciri prestasi berbeza dengan ketara antara alat network policy. Berdasarkan penanda aras yang tersedia dan laporan komuniti:

Prestasi Daya Pemprosesan

Menurut penanda aras rasmi Cilium:

  • Cilium (mod eBPF): Boleh mencapai prestasi rangkaian hampir natif, kadang-kadang melebihi garis dasar nod-ke-nod kerana pengoptimuman kernel
  • Calico (mod eBPF): Peningkatan ketara berbanding mod iptables, menghampiri tahap prestasi Cilium
  • Calico (mod iptables): Prestasi baik sehingga skala sederhana, kemerosotan dengan ribuan policy

Berdasarkan kajian penilaian prestasi arxiv.org:

  • Cilium: Purata penggunaan CPU 10% semasa operasi rangkaian
  • Calico/Kube-router: Purata penggunaan CPU 25% di bawah beban kerja yang serupa

Ciri Latensi

  • Penyelesaian berasaskan eBPF (Cilium, Calico eBPF): Penilaian policy sub-mikrosaat
  • Penyelesaian berasaskan iptables: Peningkatan latensi linear dengan bilangan policy
  • Penyelesaian berasaskan OVS (Antrea): Latensi konsisten melalui pemprosesan jadual aliran

Metrik Skalabiliti

  • Cilium: Diuji dengan 5,000+ nod dan 100,000+ pod
  • Calico: Terbukti dalam deployment melebihi 1,000 nod
  • Weave Net: Disyorkan untuk kluster di bawah 500 nod
  • Antrea: Skalabiliti baik dengan pengoptimuman OVS

Nota: Prestasi berbeza dengan ketara berdasarkan versi kernel, perkakasan, dan konfigurasi khusus. Sentiasa lakukan penanda aras dalam persekitaran khusus anda.

Jadual Perbandingan

Matriks Perbandingan Ciri

CiriCalicoCiliumWeave NetAntreaKube-routerFlannel
Network PolicyAsas❌*
Policy Lapisan 7✅ (Enterprise)
Sokongan eBPF✅ (Natif)
Service Mesh✅ (dengan Istio)✅ (Terbina dalam)
Sokongan WindowsTerhad
Enkripsi✅ (Terbina dalam)
Multi-kluster
Kebolehmerhatan✅ (Enterprise)✅ (Hubble)AsasAsas

*Flannel boleh menyokong policy apabila digabungkan dengan Canal (Flannel + Calico)

Perbandingan Prestasi

PenyelesaianDaya PemprosesanOverhed CPUPenggunaan MemoriSkalabiliti
Cilium (eBPF)CemerlangRendah (10%)SederhanaSangat Tinggi
Calico (eBPF)Sangat BaikRendah-SederhanaSederhanaTinggi
Calico (iptables)BaikSederhana (25%)RendahSederhana
Weave NetSederhanaSederhanaSederhanaSederhana
AntreaBaikRendah-SederhanaSederhanaTinggi
Kube-routerBaikSederhana (25%)RendahSederhana
FlannelBaikRendahRendahSederhana

Ringkasan Harga (2026)

PenyelesaianSumber TerbukaEnterprise/TerurusPengguna Sasaran
CalicoPercuma$0.50/nod/jam (Cloud)Semua saiz
CiliumPercuma~$15k-75k/tahun (Ang.)Sederhana hingga Besar
Weave NetPercumaT/A (Komuniti)Kecil hingga Sederhana
AntreaPercumaTermasuk dengan NSXPersekitaran VMware
Kube-routerPercumaT/AKluster kecil
FlannelPercumaT/APembangunan/Mudah

Kerangka Keputusan

Memilih alat network policy yang betul bergantung pada berbagai faktor. Gunakan kerangka ini untuk memandu keputusan anda:

1. Saiz Kluster dan Keperluan Skala

Kluster Kecil (< 50 nod):

  • Weave Net: Kesederhanaan dengan enkripsi terbina dalam
  • Flannel: Overhed minimum untuk rangkaian asas
  • Kube-router: Alat rangkaian Linux standard

Kluster Sederhana (50-500 nod):

  • Calico: Penyelesaian matang dengan pilihan enterprise
  • Cilium: Prestasi moden dengan eBPF
  • Antrea: Jika nod Windows diperlukan

Kluster Besar (500+ nod):

  • Cilium: Prestasi dan skalabiliti eBPF unggul
  • Calico (mod eBPF): Ciri enterprise dengan prestasi baik

2. Penilaian Keperluan Keselamatan

Pengasingan Rangkaian Asas:

  • Mana-mana CNI berkemampuan policy memenuhi keperluan
  • Pertimbangkan kerumitan operasi vs keperluan keselamatan

Kawalan Keselamatan Lanjutan:

  • Calico Enterprise: Pematuhan, audit, pengesanan ancaman
  • Cilium: Keselamatan berasaskan identiti, granulariti policy L7
  • Antrea: Keupayaan policy lanjutan

Zero-Trust Networking:

  • Cilium: Identiti dan service mesh terbina dalam
  • Calico: Integrasi dengan penyelesaian service mesh

3. Keutamaan Prestasi

Daya Pemprosesan Maksimum:

  1. Cilium (natif eBPF)
  2. Calico (mod eBPF)
  3. Antrea (pengoptimuman OVS)

Overhed Sumber Terendah:

  1. Kube-router (komponen minimum)
  2. Flannel (overlay mudah)
  3. Cilium (eBPF cekap)

4. Pertimbangan Operasi

Keutamaan Kesederhanaan:

  1. Weave Net (enkripsi automatik, config minimum)
  2. Flannel (rangkaian overlay asas)
  3. Calico (dokumentasi luas)

Keperluan Sokongan Enterprise:

  1. Calico (sokongan dan perkhidmatan Tigera)
  2. Antrea (sokongan enterprise VMware)
  3. Cilium (pengedaran enterprise Isovalent)

5. Platform dan Keperluan Integrasi

Deployment Multi-Cloud:

  • Calico: Pengalaman konsisten merentas awan
  • Cilium: Integrasi penyedia awan yang berkembang

Persekitaran VMware:

  • Antrea: Integrasi dan pengoptimuman VMware natif

Beban Kerja Windows:

  • Antrea: Sokongan Windows terbaik
  • Calico: Keupayaan Windows yang baik

Integrasi Service Mesh:

  • Cilium: Service mesh terbina dalam tanpa sidecar
  • Calico: Integrasi Istio yang cemerlang

Pertimbangan Keselamatan

Pelaksanaan network policy secara langsung mempengaruhi postur keselamatan kluster. Pertimbangan keselamatan utama termasuk:

Postur Keselamatan Lalai

Pelaksanaan Zero-Trust:

  • Mulakan dengan policy tolak-semua dan secara eksplisit benarkan trafik yang diperlukan
  • Gunakan pengasingan namespace sebagai asas
  • Laksanakan kawalan masuk dan keluar

Keselamatan Lapisan 7:

  • Cilium dan Calico Enterprise menyediakan kesedaran protokol HTTP/gRPC
  • Antrea menawarkan keupayaan policy lanjutan untuk protokol aplikasi
  • Pertimbangkan keselamatan peringkat API untuk beban kerja sensitif

Enkripsi dan Perlindungan Data

Enkripsi In-Transit:

  • Weave Net: Enkripsi terbina dalam secara lalai
  • Cilium: Pilihan WireGuard dan IPSec
  • Calico: Ciri enkripsi enterprise
  • Pertimbangkan kesan prestasi overhed enkripsi

Identiti dan Pengesahan:

  • Cilium: Integrasi SPIFFE/SPIRE untuk identiti beban kerja
  • Calico: Integrasi dengan penyedia identiti
  • Laksanakan mutual TLS jika diperlukan

Pematuhan dan Audit

Keperluan Peraturan:

  • Calico Enterprise: Laporan pematuhan terbina dalam
  • Semua penyelesaian: Keupayaan log aliran rangkaian
  • Pertimbangkan keperluan kediaman dan kedaulatan data

Audit dan Pemantauan:

  • Laksanakan pemantauan aliran rangkaian untuk semua perubahan policy
  • Gunakan alat kebolehmerhatan (Hubble, Calico Enterprise UI) untuk keterlihatan
  • Kekalkan jejak audit perubahan policy

Pengesanan dan Tindak Balas Ancaman

Pengesanan Anomali:

  • Pantau corak trafik yang tidak dijangka
  • Laksanakan amaran untuk pelanggaran policy
  • Gunakan kebolehmerhatan rangkaian untuk analisis forensik

Tindak Balas Insiden:

  • Sediakan buku panduan untuk insiden keselamatan rangkaian
  • Uji penguatkuasaan policy dalam senario bencana
  • Kekalkan pembahagian rangkaian semasa kejadian keselamatan

Corak Integrasi

Integrasi Service Mesh

Cilium + Service Mesh Terbina dalam:

# Aktifkan ciri service mesh Cilium
apiVersion: v1
kind: ConfigMap
metadata:
  name: cilium-config
data:
  enable-l7-proxy: "true"
  enable-remote-node-identity: "true"

Integrasi Calico + Istio:

# Policy Calico untuk service mesh Istio
apiVersion: projectcalico.org/v3
kind: NetworkPolicy
metadata:
  name: istio-integration
spec:
  selector: app == "productpage"
  ingress:
  - action: Allow
    source:
      serviceAccounts:
        selector: app == "istio-proxy"

Rangkaian Multi-Kluster

Cilium Cluster Mesh:

apiVersion: cilium.io/v2alpha1
kind: CiliumClusterConfig
metadata:
  name: cluster-mesh-config
spec:
  cluster:
    name: production-west
    id: 1
  nodes:
  - name: cluster-east
    address: "10.0.0.1"

Persediaan Multi-Kluster Calico:

apiVersion: projectcalico.org/v3
kind: RemoteClusterConfiguration
metadata:
  name: remote-cluster
spec:
  clusterAccessSecret: remote-cluster-secret
  tunnelIPs: ["192.168.1.0/24"]

Integrasi Kebolehmerhatan

Pemantauan Prometheus:

# ServiceMonitor untuk metrik CNI
apiVersion: monitoring.coreos.com/v1
kind: ServiceMonitor
metadata:
  name: cilium-metrics
spec:
  selector:
    matchLabels:
      app: cilium
  endpoints:
  - port: prometheus
    interval: 30s

Konfigurasi Log Aliran:

# Log aliran Hubble untuk Cilium
apiVersion: v1
kind: ConfigMap
metadata:
  name: hubble-config
data:
  enable-hubble: "true"
  hubble-flow-buffer-size: "4095"
  hubble-metrics: "dns,drop,tcp,flow,port-distribution"

Bahagian FAQ

Soalan Network Policy Umum

S: Adakah saya perlukan CNI khusus untuk menggunakan NetworkPolicy Kubernetes? J: Ya, NetworkPolicy hanyalah sumber API di Kubernetes. Anda perlukan CNI yang melaksanakan penguatkuasaan network policy. CNI standard seperti Flannel tidak menyokong policy, manakala Calico, Cilium, Weave Net, dan Antrea menyokong.

S: Bolehkah saya menukar CNI dalam kluster sedia ada? J: Menukar CNI biasanya memerlukan masa henti kluster dan perancangan migrasi yang berhati-hati. Secara amnya lebih mudah untuk menyediakan kluster baru dengan CNI yang dikehendaki dan memindahkan beban kerja. Sesetengah perkhidmatan terurus menawarkan naik taraf CNI (seperti Azure CNI ke Cilium).

S: Apa yang berlaku jika saya menggunakan NetworkPolicy tetapi CNI saya tidak menyokongnya? J: Policy akan diterima oleh API Kubernetes tetapi tidak akan dikuatkuasakan. Trafik akan terus mengalir seolah-olah tiada policy wujud, mencipta rasa selamat yang palsu.

Prestasi dan Skalabiliti

S: Adakah mengaktifkan network policy mempengaruhi prestasi? J: Ya, penilaian policy menambah overhed. Penyelesaian berasaskan eBPF (Cilium, mod eBPF Calico) mempunyai kesan minimum, manakala pelaksanaan berasaskan iptables mungkin merosot dengan bilangan policy yang besar. Penyelesaian moden dioptimumkan untuk beban kerja produksi.

S: Berapa banyak network policy yang boleh saya ada dalam kluster? J: Ini bergantung pada CNI dan saiz kluster anda. Cilium dan Calico Enterprise mengendalikan ribuan policy dengan cekap. Pelaksanaan berasaskan iptables mungkin menunjukkan kemerosotan prestasi melebihi 100-500 policy per nod.

S: Patutkan saya menggunakan policy Lapisan 7 dalam produksi? J: Policy Lapisan 7 memberikan kawalan yang terperinci tetapi menambah overhed pemprosesan dan kerumitan. Gunakannya untuk sempadan keselamatan kritikal dan kawalan peringkat API, bukan untuk penapisan trafik luas di mana policy Lapisan 3/4 sudah memadai.

Keselamatan dan Pematuhan

S: Adakah network policy mencukupi untuk keselamatan zero-trust? J: Network policy adalah satu komponen seni bina zero-trust. Anda juga perlukan identiti beban kerja, enkripsi, log audit, dan kawalan keselamatan peringkat aplikasi. Anggap mereka sebagai kawalan akses peringkat rangkaian, bukan keselamatan lengkap.

S: Bagaimana saya menyahpepijat masalah network policy? J: Kebanyakan CNI menyediakan alat untuk penyahpepijatan policy:

  • Cilium: cilium monitor, Hubble UI
  • Calico: calicoctl get networkpolicy, log aliran
  • Gunakan kubectl describe networkpolicy untuk mengesahkan sintaks policy
  • Uji ketersambungan dengan pod diagnostik

S: Bolehkah network policy melindungi daripada container escape berbahaya? J: Network policy mengawal trafik rangkaian, bukan pengasingan bekas. Mereka boleh mengehadkan radius letupan selepas container escape tetapi tidak akan menghalang escape itu sendiri. Gabungkan dengan Pod Security Standards, pengawal kemasukan, dan alat keselamatan runtime.

Soalan Khusus Alat

S: Patutkan saya memilih Calico atau Cilium untuk deployment baru? J: Pertimbangkan faktor-faktor ini:

  • Pilih Cilium jika: Anda mahukan prestasi eBPF canggih, service mesh terbina dalam, atau persekitaran kernel moden
  • Pilih Calico jika: Anda memerlukan ciri enterprise yang terbukti, dokumentasi luas, atau sokongan merentas persekitaran yang pelbagai
  • Kedua-duanya adalah pilihan cemerlang untuk kebanyakan kes penggunaan

S: Adakah Weave Net masih berdaya maju selepas penutupan Weaveworks? J: Weave Net diteruskan sebagai projek sumber terbuka di bawah penyelenggaraan komuniti. Ia stabil untuk deployment sedia ada tetapi pertimbangkan alternatif untuk projek baru kerana kelajuan pembangunan yang berkurangan dan sokongan enterprise.

S: Bila patut saya mempertimbangkan Antrea berbanding pilihan lain? J: Pilih Antrea jika anda ada:

  • Persekitaran Kubernetes campuran Windows/Linux
  • Pelaburan infrastruktur VMware sedia ada
  • Keperluan untuk ciri rangkaian berasaskan OVS
  • Perlu keupayaan policy lanjutan melebihi NetworkPolicy standard

Migrasi dan Operasi

S: Bagaimana saya berhijrah dari satu CNI ke CNI lain? J: Migrasi CNI biasanya memerlukan:

  1. Rancang semasa tetingkap penyelenggaraan
  2. Sandarkan konfigurasi rangkaian sedia ada
  3. Salirkan dan konfigur semula nod dengan CNI baru
  4. Kemas kini network policy ke format CNI baru (jika berkenaan)
  5. Uji ketersambungan dengan teliti

Pertimbangkan migrasi kluster biru-hijau untuk peralihan tanpa masa henti.

S: Bolehkah saya menjalankan beberapa CNI dalam kluster yang sama? J: Kubernetes hanya menyokong satu CNI per kluster. Walau bagaimanapun, sesetengah CNI menyokong beberapa data plane (seperti Calico menyokong mod iptables dan eBPF serentak).

S: Berapa kekerapan saya patut kemas kini CNI saya? J: Ikut panduan ini:

  • Kemas kini keselamatan: Guna serta-merta
  • Kemas kini ciri: Rancang kemas kini suku tahunan
  • Versi utama: Uji secara teliti dalam staging dahulu
  • Pantau irama keluaran projek CNI dan nasihat keselamatan

Kesimpulan

Memilih alat network policy terbaik untuk Kubernetes pada 2026 memerlukan pengimbangan pertimbangan prestasi, keselamatan, kerumitan operasi, dan kos. Landskap telah berkembang dengan ketara, dengan penyelesaian berasaskan eBPF memimpin peningkatan prestasi manakala penyelesaian tradisional terus mematangkan penawaran enterprise mereka.

Cadangan Utama:

Untuk Prestasi Maksimum dan Ciri Moden: Cilium menawarkan teknologi eBPF canggih dengan keupayaan service mesh terbina dalam, menjadikannya ideal untuk persekitaran kritikal prestasi dan cloud-native.

Untuk Kebolehpercayaan dan Sokongan Enterprise: Calico menyediakan kestabilan teruji dengan ciri enterprise komprehensif, dokumentasi luas, dan skalabiliti terbukti merentas persekitaran yang pelbagai.

Untuk Kesederhanaan dan Keperluan Asas: Weave Net memberikan persediaan mudah dengan enkripsi terbina dalam, walaupun pertimbangkan implikasi penyelenggaraan jangka panjang.

Untuk Persekitaran VMware: Antrea menyediakan integrasi terbaik dengan infrastruktur VMware dan sokongan Windows unggul.

Untuk Deployment Terhad Sumber: Kube-router menawarkan overhed minimum menggunakan alat rangkaian Linux standard.

Ekosistem network policy terus berkembang pesat. Kekal termaklum tentang peta jalan penyelesaian pilihan anda, kemas kini keselamatan, dan perkembangan komuniti. Yang paling penting, uji secara teliti dalam persekitaran khusus anda—ciri prestasi dan operasi boleh berbeza dengan ketara berdasarkan infrastruktur, aplikasi, dan keperluan anda.

Ingat bahawa network policy hanyalah satu lapisan keselamatan Kubernetes. Gabungkannya dengan Pod Security Standards, pengawal kemasukan, perlindungan runtime, dan kebolehmerhatan komprehensif untuk postur keselamatan pertahanan mendalam.

Mencari lebih banyak pandangan keselamatan Kubernetes? Ikuti blog kami untuk analisis terkini alat keselamatan cloud-native dan amalan terbaik.

Kata Kunci: Alat Network Policy Terbaik untuk Kubernetes 2026, perbandingan network policy kubernetes, prestasi calico vs cilium, cni terbaik untuk keselamatan, keselamatan rangkaian Kubernetes, perbandingan CNI 2026, penguatkuasaan network policy, rangkaian eBPF, zero-trust Kubernetes