Công cụ Network Policy tốt nhất cho Kubernetes 2026 — Calico vs Cilium vs Weave Net: Hướng dẫn so sánh toàn diện
Xuất bản ngày 17 tháng 2, 2026 bởi Yaya Hanayagi
Bảo mật mạng Kubernetes đã phát triển đáng kể, và việc chọn công cụ network policy phù hợp năm 2026 là rất quan trọng đối với bảo mật cluster, hiệu năng và hiệu quả vận hành. Hướng dẫn toàn diện này phân tích các giải pháp network policy hàng đầu hiện có, so sánh kiến trúc, tính năng, giá cả và hiệu năng trong thực tế.
Mục lục
- Giới thiệu về Kubernetes Network Policies
- Bối cảnh Network Policy năm 2026
- Phân tích chi tiết các công cụ
- Benchmarks hiệu năng
- Bảng so sánh
- Framework ra quyết định
- Cân nhắc về bảo mật
- Mẫu tích hợp
- Phần câu hỏi thường gặp
- Kết luận
Giới thiệu về Kubernetes Network Policies
Network policies trong Kubernetes định nghĩa các quy tắc kiểm soát luồng traffic giữa các pod, namespace và endpoint bên ngoài. Mặc định, Kubernetes cho phép tất cả giao tiếp pod-to-pod—một thiết kế ưu tiên kết nối hơn bảo mật. Network policies cho phép zero-trust networking bằng cách định nghĩa rõ ràng các đường dẫn giao tiếp được phép.
Tuy nhiên, không phải tất cả plugin Container Network Interface (CNI) đều hỗ trợ network policies. Việc lựa chọn CNI ảnh hưởng trực tiếp đến khả năng bảo mật, đặc tính hiệu năng và độ phức tạp vận hành của bạn.
Bối cảnh Network Policy năm 2026
Hệ sinh thái network policy đã trưởng thành đáng kể, với một số xu hướng chính định hình bối cảnh:
- Áp dụng eBPF: Các giải pháp hiện đại như Cilium tận dụng eBPF để có hiệu năng vượt trội và tích hợp sâu với kernel
- Tích hợp service mesh: Các CNI ngày càng cung cấp khả năng service mesh tích hợp mà không cần sidecar overhead
- Tính nhất quán multi-cloud: Các giải pháp enterprise tập trung vào việc cung cấp policies nhất quán trên các triển khai hybrid và multi-cloud
- Tập trung vào khả năng quan sát: Giám sát luồng nâng cao và khả năng hiển thị mạng đã trở thành kỳ vọng tiêu chuẩn
- Hỗ trợ Windows: Nhu cầu ngày càng tăng đối với hỗ trợ Windows node trong môi trường enterprise
Phân tích chi tiết các công cụ
1. Calico
Tổng quan: Calico vẫn là một trong những giải pháp network policy được áp dụng rộng rãi nhất, cung cấp cả phiên bản mã nguồn mở và enterprise thông qua Tigera.
Kiến trúc:
- Sử dụng BGP để phân phối route giữa các node
- Sử dụng iptables hoặc eBPF cho việc lọc packet (chế độ eBPF có sẵn từ v3.13)
- Felix agent chạy trên mỗi node để thực thi policy
- Component Typha cung cấp truy cập datastore có thể mở rộng cho các cluster lớn
Tính năng chính:
- Network policies Layer 3/4 và Layer 7
- Multi-cluster networking
- Egress gateway để kiểm soát truy cập bên ngoài
- Tích hợp với Istio service mesh
- Khả năng báo cáo tuân thủ và audit
- Kiểm soát bảo mật nâng cao (mã hóa, phát hiện mối đe dọa)
Giá cả năm 2026:
- Mã nguồn mở: Miễn phí
- Calico Cloud (dịch vụ quản lý): Bắt đầu từ $0.50 per node/hour
- Calico Enterprise: Giá tùy chỉnh, thường $10,000-50,000+ hàng năm tùy thuộc kích thước cluster
Ưu điểm:
- Giải pháp trưởng thành, đã được kiểm chứng với việc áp dụng rộng rãi trong enterprise
- Tài liệu xuất sắc và hỗ trợ cộng đồng
- Chế độ triển khai linh hoạt (overlay, host-gateway, cross-subnet)
- Tính năng tuân thủ và audit mạnh mẽ ở tầng enterprise
- Hoạt động trên nhiều cloud provider và on-premises
Nhược điểm:
- Chế độ iptables có thể trở thành nút thắt cổ chai hiệu năng trong các cluster lớn
- Cấu hình phức tạp cho các tình huống nâng cao
- Tính năng enterprise yêu cầu giấy phép trả phí
- Độ phức tạp thiết lập BGP trong một số môi trường mạng
Trường hợp sử dụng tốt nhất:
- Môi trường enterprise yêu cầu khả năng tuân thủ và audit
- Triển khai multi-cloud cần networking nhất quán
- Tổ chức có cơ sở hạ tầng mạng BGP hiện có
- Cluster yêu cầu kiểm soát bảo mật nâng cao
2. Cilium
Tổng quan: Cilium đại diện cho thế hệ tiếp theo của Kubernetes networking, được xây dựng từ đầu với công nghệ eBPF để có hiệu năng tối đa và tích hợp sâu với kernel.
Kiến trúc:
- Data plane dựa trên eBPF để xử lý packet trong kernel space
- Có thể thay thế kube-proxy bằng load balancing dựa trên eBPF
- Sử dụng các primitive networking của Linux kernel cho routing
- Agent chạy ở chế độ privileged trên mỗi node
- Khả năng service mesh tùy chọn mà không cần sidecar
Tính năng chính:
- Ưu thế hiệu năng eBPF bản địa
- Network policies Layer 3/4/7 với nhận thức giao thức HTTP/gRPC/Kafka
- Bảo mật dựa trên identity (tích hợp SPIFFE/SPIRE)
- Cluster mesh cho kết nối multi-cluster
- Mã hóa trong suốt (WireGuard, IPSec)
- Khả năng quan sát nâng cao với Hubble
- Service mesh tích hợp (không cần Envoy sidecar)
Giá cả năm 2026:
- Mã nguồn mở: Miễn phí
- Isovalent Enterprise (Phân phối Cilium enterprise): Giá tùy chỉnh, ước tính $15,000-75,000+ hàng năm
- Dịch vụ cloud quản lý: Có sẵn thông qua các cloud provider chính
Ưu điểm:
- Hiệu năng vượt trội do tích hợp kernel eBPF
- Tính năng tiên tiến và phát triển nhanh chóng
- Tích hợp service mesh xuất sắc mà không có sidecar overhead
- Khả năng quan sát và debug mạnh mẽ
- Dự án CNCF tích cực với hệ sinh thái đang phát triển
Nhược điểm:
- Yêu cầu kernel Linux hiện đại (4.9+ cho tính năng cơ bản, khuyến nghị 5.4+)
- Đường cong học tập dốc hơn cho team không quen với eBPF
- Tương đối mới so với Calico (ít validation enterprise hơn)
- Troubleshooting phức tạp khi các chương trình eBPF gặp trục trặc
Trường hợp sử dụng tốt nhất:
- Môi trường quan trọng về hiệu năng
- Kiến trúc microservice hiện đại yêu cầu L7 policies
- Tổ chức muốn service mesh tích hợp mà không có sidecar
- Môi trường cloud-native với phiên bản kernel hiện đại
3. Weave Net
Tổng quan: Weave Net cung cấp phương pháp đơn giản cho Kubernetes networking với hỗ trợ network policy tích hợp và khả năng mesh networking.
Kiến trúc:
- Tạo overlay network mã hóa giữa các node
- Sử dụng kernel packet capture và userspace routing
- Container weave-npc xử lý việc thực thi network policy
- Tự động service discovery và tích hợp DNS
Tính năng chính:
- Cài đặt và cấu hình đơn giản
- Mã hóa tự động giữa các node
- Hỗ trợ network policy tích hợp
- Khả năng multi-cloud networking
- Tích hợp với Weave Cloud (đã ngừng) và các công cụ monitoring khác
- Hỗ trợ cả chế độ overlay và host networking
Giá cả năm 2026:
- Mã nguồn mở: Miễn phí
- Lưu ý: Weaveworks đã ngừng hoạt động năm 2024, nhưng dự án mã nguồn mở vẫn tiếp tục dưới sự bảo trì cộng đồng
Ưu điểm:
- Thiết lập và vận hành cực kỳ đơn giản
- Mã hóa tích hợp mà không cần cấu hình bổ sung
- Triển khai network policy tốt
- Hoạt động đáng tin cậy trên các môi trường cloud khác nhau
- Phụ thuộc bên ngoài tối thiểu
Nhược điểm:
- Performance overhead do userspace packet processing
- Hỗ trợ enterprise hạn chế sau khi Weaveworks đóng cửa
- Ít tính năng phong phú hơn so với Calico hoặc Cilium
- Tốc độ phát triển chậm hơn dưới sự bảo trì cộng đồng
Trường hợp sử dụng tốt nhất:
- Cluster nhỏ đến vừa ưu tiên tính đơn giản
- Môi trường phát triển và testing
- Tổ chức cần mã hóa mặc định
- Team ưa thích overhead cấu hình tối thiểu
4. Antrea
Tổng quan: Antrea là giải pháp Kubernetes networking của VMware, tận dụng Open vSwitch (OVS) cho khả năng networking có thể lập trình và hỗ trợ Windows mạnh mẽ.
Kiến trúc:
- Được xây dựng trên Open vSwitch cho data plane processing
- Antrea Agent chạy trên mỗi node
- Antrea Controller quản lý network policies tập trung
- Sử dụng OVS flow table cho packet processing
Tính năng chính:
- Hỗ trợ Windows node xuất sắc
- Network policies nâng cao bao gồm extension riêng của Antrea
- Khả năng giám sát traffic và export flow
- Tích hợp với VMware NSX cho tính năng enterprise
- Hỗ trợ multi-cluster networking
- ClusterNetworkPolicy và Antrea NetworkPolicy CRD cho chức năng mở rộng
Giá cả năm 2026:
- Mã nguồn mở: Miễn phí
- VMware NSX với Antrea: Một phần của licensing NSX, $15-50 per CPU hàng tháng tùy thuộc edition
Ưu điểm:
- Hỗ trợ Windows tốt nhất
- Tích hợp mạnh mẽ với hệ sinh thái VMware
- Khả năng policy nâng cao vượt ra ngoài NetworkPolicy tiêu chuẩn
- Đặc tính hiệu năng tốt
- Phát triển tích cực và hỗ trợ enterprise
Nhược điểm:
- Dependency OVS làm tăng độ phức tạp
- Chủ yếu được tối ưu hóa cho môi trường VMware
- Ít adoption cộng đồng bên ngoài người dùng VMware
- Đường cong học tập cho team không quen với OVS
Trường hợp sử dụng tốt nhất:
- Cluster Kubernetes hỗn hợp Windows/Linux
- Môi trường cơ sở hạ tầng lấy VMware làm trung tâm
- Tổ chức yêu cầu tính năng policy nâng cao
- Enterprise đã đầu tư vào giải pháp networking VMware
5. Kube-router
Tổng quan: Kube-router là giải pháp networking nhẹ sử dụng các công cụ networking Linux tiêu chuẩn (iptables, IPVS, BGP) mà không yêu cầu overlay network bổ sung.
Kiến trúc:
- Sử dụng BGP để quảng cáo pod subnet
- IPVS cho chức năng service proxy
- iptables để thực thi network policy
- Direct routing mà không có overlay network
Tính năng chính:
- Không có overlay network overhead
- Sử dụng các primitive networking Linux tiêu chuẩn
- Service proxy, firewall và pod networking tích hợp
- Quảng cáo route dựa trên BGP
- Hỗ trợ network policy cơ bản
Giá cả năm 2026:
- Mã nguồn mở: Miễn phí (không có offering thương mại)
Ưu điểm:
- Resource overhead tối thiểu
- Sử dụng các công cụ networking Linux quen thuộc
- Không có component độc quyền hoặc overlay
- Hiệu năng tốt cho nhu cầu networking đơn giản
- Troubleshooting dễ dàng với các công cụ tiêu chuẩn
Nhược điểm:
- Tính năng network policy hạn chế so với các giải pháp khác
- Ít phù hợp cho tình huống multi-cluster phức tạp
- Yêu cầu kiến thức BGP cho cấu hình nâng cao
- Tính năng enterprise hoặc tùy chọn hỗ trợ tối thiểu
Trường hợp sử dụng tốt nhất:
- Môi trường hạn chế resource
- Yêu cầu networking đơn giản với bảo mật cơ bản
- Tổ chức ưa thích networking Linux tiêu chuẩn
- Cluster phát triển với nhu cầu policy tối thiểu
6. Flannel với Network Policy Add-on
Tổng quan: Flannel là overlay network đơn giản thông thường không hỗ trợ network policy bản địa, nhưng có thể được tăng cường với các policy engine bổ sung.
Kiến trúc:
- Tạo overlay network bằng VXLAN hoặc host-gw backend
- Yêu cầu component bổ sung (như Calico policy engine) để hỗ trợ network policy
- Canal kết hợp Flannel networking với Calico policies
Tính năng chính:
- Thiết lập networking cực kỳ đơn giản
- Nhiều tùy chọn backend (VXLAN, host-gw, AWS VPC, GCE)
- Có thể kết hợp với các policy engine khác (Canal = Flannel + Calico)
Giá cả năm 2026:
- Mã nguồn mở: Miễn phí
- Canal (Flannel + Calico): Mã nguồn mở miễn phí, tính năng enterprise Calico có sẵn thông qua Tigera
Ưu điểm:
- Yêu cầu cấu hình tối thiểu
- Ổn định và được sử dụng rộng rãi
- Tùy chọn backend linh hoạt
- Có thể được tăng cường với các policy engine khác
Nhược điểm:
- Không có hỗ trợ network policy bản địa
- Độ phức tạp bổ sung khi thêm policy engine
- Tính năng networking nâng cao hạn chế
- Performance overhead của overlay networking
Trường hợp sử dụng tốt nhất:
- Triển khai greenfield nơi tính đơn giản là tối quan trọng
- Môi trường phát triển với yêu cầu bảo mật tối thiểu
- Ứng dụng legacy yêu cầu networking ổn định
- Khi kết hợp với Canal để hỗ trợ policy
7. Kubernetes Native NetworkPolicy
Tổng quan: Resource Kubernetes NetworkPolicy tích hợp cung cấp API tiêu chuẩn để định nghĩa network policy, nhưng yêu cầu CNI triển khai specification.
Tính năng chính:
- API tiêu chuẩn hóa trên tất cả triển khai network policy
- Định nghĩa quy tắc ingress và egress
- Pod, namespace và IP block selector
- Specification port và protocol
Yêu cầu triển khai:
- Phải được ghép nối với CNI có khả năng policy
- Policy được thực thi bởi CNI, không phải Kubernetes
- Hạn chế ở quy tắc Layer 3/4 (không có khả năng Layer 7 trong spec tiêu chuẩn)
Benchmark hiệu năng
Đặc tính hiệu năng khác nhau đáng kể giữa các công cụ network policy. Dựa trên benchmark có sẵn và báo cáo cộng đồng:
Hiệu năng Throughput
Theo benchmark chính thức của Cilium:
- Cilium (chế độ eBPF): Có thể đạt hiệu năng networking gần bằng native, đôi khi vượt quá baseline node-to-node do tối ưu hóa kernel
- Calico (chế độ eBPF): Cải thiện đáng kể so với chế độ iptables, tiệm cận mức hiệu năng Cilium
- Calico (chế độ iptables): Hiệu năng tốt đến mức độ vừa phải, degradation với hàng nghìn policy
Dựa trên nghiên cứu đánh giá hiệu năng arxiv.org:
- Cilium: Sử dụng CPU trung bình 10% trong quá trình hoạt động mạng
- Calico/Kube-router: Tiêu thụ CPU trung bình 25% dưới workload tương tự
Đặc tính Latency
- Giải pháp dựa trên eBPF (Cilium, Calico eBPF): Đánh giá policy dưới microsecond
- Giải pháp dựa trên iptables: Latency tăng tuyến tính với số lượng policy
- Giải pháp dựa trên OVS (Antrea): Latency nhất quán thông qua xử lý flow table
Metrics khả năng mở rộng
- Cilium: Đã được test với 5,000+ node và 100,000+ pod
- Calico: Đã được chứng minh trong triển khai vượt quá 1,000 node
- Weave Net: Khuyến nghị cho cluster dưới 500 node
- Antrea: Khả năng mở rộng tốt với tối ưu hóa OVS
Lưu ý: Hiệu năng khác nhau đáng kể dựa trên phiên bản kernel, phần cứng và cấu hình cụ thể. Luôn benchmark trong môi trường cụ thể của bạn.
Bảng so sánh
Ma trận so sánh tính năng
| Tính năng | Calico | Cilium | Weave Net | Antrea | Kube-router | Flannel |
|---|---|---|---|---|---|---|
| Network Policies | ✅ | ✅ | ✅ | ✅ | Cơ bản | ❌* |
| Layer 7 Policies | ✅ (Enterprise) | ✅ | ❌ | ✅ | ❌ | ❌ |
| Hỗ trợ eBPF | ✅ | ✅ (Native) | ❌ | ❌ | ❌ | ❌ |
| Service Mesh | ✅ (với Istio) | ✅ (Tích hợp) | ❌ | ❌ | ❌ | ❌ |
| Hỗ trợ Windows | ✅ | Hạn chế | ❌ | ✅ | ❌ | ✅ |
| Mã hóa | ✅ | ✅ | ✅ (Tích hợp) | ✅ | ❌ | ❌ |
| Multi-cluster | ✅ | ✅ | ✅ | ✅ | ❌ | ❌ |
| Khả năng quan sát | ✅ (Enterprise) | ✅ (Hubble) | Cơ bản | ✅ | Cơ bản | ❌ |
*Flannel có thể hỗ trợ policy khi kết hợp với Canal (Flannel + Calico)
So sánh hiệu năng
| Giải pháp | Throughput | CPU Overhead | Sử dụng Memory | Khả năng mở rộng |
|---|---|---|---|---|
| Cilium (eBPF) | Xuất sắc | Thấp (10%) | Vừa phải | Rất cao |
| Calico (eBPF) | Rất tốt | Thấp-Vừa | Vừa phải | Cao |
| Calico (iptables) | Tốt | Vừa (25%) | Thấp | Vừa |
| Weave Net | Khá | Vừa | Vừa phải | Vừa |
| Antrea | Tốt | Thấp-Vừa | Vừa phải | Cao |
| Kube-router | Tốt | Vừa (25%) | Thấp | Vừa |
| Flannel | Tốt | Thấp | Thấp | Vừa |
Tổng quan giá cả (2026)
| Giải pháp | Mã nguồn mở | Enterprise/Quản lý | Người dùng mục tiêu |
|---|---|---|---|
| Calico | Miễn phí | $0.50/node/hour (Cloud) | Mọi quy mô |
| Cilium | Miễn phí | ~$15k-75k/năm (Ước tính) | Vừa đến Lớn |
| Weave Net | Miễn phí | N/A (Cộng đồng) | Nhỏ đến Vừa |
| Antrea | Miễn phí | Bao gồm với NSX | Môi trường VMware |
| Kube-router | Miễn phí | N/A | Cluster nhỏ |
| Flannel | Miễn phí | N/A | Phát triển/Đơn giản |
Framework ra quyết định
Việc chọn công cụ network policy phù hợp phụ thuộc vào nhiều yếu tố. Sử dụng framework này để hướng dẫn quyết định của bạn:
1. Quy mô cluster và yêu cầu Scale
Cluster nhỏ (< 50 node):
- Weave Net: Tính đơn giản với mã hóa tích hợp
- Flannel: Overhead tối thiểu cho networking cơ bản
- Kube-router: Công cụ networking Linux tiêu chuẩn
Cluster vừa (50-500 node):
- Calico: Giải pháp trưởng thành với tùy chọn enterprise
- Cilium: Hiệu năng hiện đại với eBPF
- Antrea: Nếu yêu cầu Windows node
Cluster lớn (500+ node):
- Cilium: Hiệu năng và khả năng mở rộng eBPF vượt trội
- Calico (chế độ eBPF): Tính năng enterprise với hiệu năng tốt
2. Đánh giá yêu cầu bảo mật
Network Isolation cơ bản:
- Bất kỳ CNI có khả năng policy nào cũng đáp ứng yêu cầu
- Cân nhắc độ phức tạp vận hành vs nhu cầu bảo mật
Kiểm soát bảo mật nâng cao:
- Calico Enterprise: Tuân thủ, audit, phát hiện mối đe dọa
- Cilium: Bảo mật dựa trên identity, granularity L7 policy
- Antrea: Khả năng policy mở rộng
Zero-Trust Networking:
- Cilium: Identity và service mesh tích hợp
- Calico: Tích hợp với giải pháp service mesh
3. Ưu tiên hiệu năng
Throughput tối đa:
- Cilium (eBPF native)
- Calico (chế độ eBPF)
- Antrea (tối ưu hóa OVS)
Resource Overhead thấp nhất:
- Kube-router (component tối thiểu)
- Flannel (overlay đơn giản)
- Cilium (eBPF hiệu quả)
4. Cân nhắc vận hành
Ưu tiên tính đơn giản:
- Weave Net (mã hóa tự động, cấu hình tối thiểu)
- Flannel (overlay networking cơ bản)
- Calico (tài liệu phong phú)
Nhu cầu hỗ trợ Enterprise:
- Calico (hỗ trợ và dịch vụ Tigera)
- Antrea (hỗ trợ enterprise VMware)
- Cilium (phân phối enterprise Isovalent)
5. Yêu cầu Platform và tích hợp
Triển khai Multi-Cloud:
- Calico: Trải nghiệm nhất quán trên các cloud
- Cilium: Tích hợp cloud provider ngày càng phát triển
Môi trường VMware:
- Antrea: Tích hợp và tối ưu hóa VMware bản địa
Workload Windows:
- Antrea: Hỗ trợ Windows tốt nhất
- Calico: Khả năng Windows tốt
Tích hợp Service Mesh:
- Cilium: Service mesh tích hợp mà không có sidecar
- Calico: Tích hợp Istio xuất sắc
Cân nhắc về bảo mật
Triển khai network policy ảnh hưởng trực tiếp đến tư thế bảo mật cluster. Các cân nhắc bảo mật chính bao gồm:
Tư thế bảo mật mặc định
Triển khai Zero-Trust:
- Bắt đầu với deny-all policy và cho phép rõ ràng traffic cần thiết
- Sử dụng namespace isolation làm nền tảng
- Triển khai kiểm soát ingress và egress
Bảo mật Layer 7:
- Cilium và Calico Enterprise cung cấp nhận thức giao thức HTTP/gRPC
- Antrea cung cấp khả năng policy mở rộng cho giao thức ứng dụng
- Cân nhắc bảo mật API-level cho workload nhạy cảm
Mã hóa và bảo vệ dữ liệu
Mã hóa In-Transit:
- Weave Net: Mã hóa tích hợp mặc định
- Cilium: Tùy chọn WireGuard và IPSec
- Calico: Tính năng mã hóa Enterprise
- Cân nhắc performance impact của encryption overhead
Identity và Authentication:
- Cilium: Tích hợp SPIFFE/SPIRE cho workload identity
- Calico: Tích hợp với identity provider
- Triển khai mutual TLS nơi cần thiết
Tuân thủ và Audit
Yêu cầu Quy định:
- Calico Enterprise: Báo cáo tuân thủ tích hợp
- Tất cả giải pháp: Khả năng logging network flow
- Cân nhắc yêu cầu data residency và sovereignty
Audit và Monitoring:
- Triển khai giám sát network flow cho tất cả thay đổi policy
- Sử dụng công cụ observability (Hubble, Calico Enterprise UI) để có visibility
- Duy trì audit trail cho thay đổi policy
Phát hiện và ứng phó mối đe dọa
Phát hiện bất thường:
- Giám sát các mẫu traffic bất ngờ
- Triển khai cảnh báo cho vi phạm policy
- Sử dụng network observability cho phân tích pháp y
Ứng phó sự cố:
- Chuẩn bị playbook cho sự cố bảo mật mạng
- Test thực thi policy trong tình huống thảm họa
- Duy trì phân đoạn mạng trong sự kiện bảo mật
Mẫu tích hợp
Tích hợp Service Mesh
Cilium + Service Mesh tích hợp:
# Bật tính năng service mesh Cilium
apiVersion: v1
kind: ConfigMap
metadata:
name: cilium-config
data:
enable-l7-proxy: "true"
enable-remote-node-identity: "true"
Tích hợp Calico + Istio:
# Calico policy cho Istio service mesh
apiVersion: projectcalico.org/v3
kind: NetworkPolicy
metadata:
name: istio-integration
spec:
selector: app == "productpage"
ingress:
- action: Allow
source:
serviceAccounts:
selector: app == "istio-proxy"
Multi-Cluster Networking
Cilium Cluster Mesh:
apiVersion: cilium.io/v2alpha1
kind: CiliumClusterConfig
metadata:
name: cluster-mesh-config
spec:
cluster:
name: production-west
id: 1
nodes:
- name: cluster-east
address: "10.0.0.1"
Thiết lập Multi-Cluster Calico:
apiVersion: projectcalico.org/v3
kind: RemoteClusterConfiguration
metadata:
name: remote-cluster
spec:
clusterAccessSecret: remote-cluster-secret
tunnelIPs: ["192.168.1.0/24"]
Tích hợp Observability
Giám sát Prometheus:
# ServiceMonitor cho CNI metrics
apiVersion: monitoring.coreos.com/v1
kind: ServiceMonitor
metadata:
name: cilium-metrics
spec:
selector:
matchLabels:
app: cilium
endpoints:
- port: prometheus
interval: 30s
Cấu hình Flow Logging:
# Hubble flow logging cho Cilium
apiVersion: v1
kind: ConfigMap
metadata:
name: hubble-config
data:
enable-hubble: "true"
hubble-flow-buffer-size: "4095"
hubble-metrics: "dns,drop,tcp,flow,port-distribution"
Phần câu hỏi thường gặp
Câu hỏi Network Policy chung
H: Tôi có cần CNI cụ thể để sử dụng Kubernetes NetworkPolicies không? T: Có, NetworkPolicies chỉ là API resource trong Kubernetes. Bạn cần CNI triển khai việc thực thi network policy. CNI tiêu chuẩn như Flannel không hỗ trợ policy, trong khi Calico, Cilium, Weave Net và Antrea thì có.
H: Tôi có thể thay đổi CNI trong cluster hiện tại không? T: Thay đổi CNI thường yêu cầu downtime cluster và lập kế hoạch migration cẩn thận. Thường dễ dàng hơn để provision cluster mới với CNI mong muốn và migrate workload. Một số dịch vụ quản lý cung cấp CNI upgrade (như Azure CNI sang Cilium).
H: Điều gì xảy ra nếu tôi áp dụng NetworkPolicy nhưng CNI không hỗ trợ? T: Policy sẽ được chấp nhận bởi Kubernetes API nhưng sẽ không được thực thi. Traffic sẽ tiếp tục flow như thể không có policy tồn tại, tạo cảm giác bảo mật giả.
Hiệu năng và khả năng mở rộng
H: Việc bật network policy có ảnh hưởng đến hiệu năng không? T: Có, đánh giá policy thêm overhead. Giải pháp dựa trên eBPF (Cilium, Calico chế độ eBPF) có impact tối thiểu, trong khi triển khai dựa trên iptables có thể degraded với số lượng policy lớn. Giải pháp hiện đại được tối ưu cho production workload.
H: Tôi có thể có bao nhiêu network policy trong cluster? T: Điều này phụ thuộc vào CNI và quy mô cluster của bạn. Cilium và Calico Enterprise xử lý hàng nghìn policy hiệu quả. Triển khai dựa trên iptables có thể cho thấy performance degradation vượt quá 100-500 policy per node.
H: Tôi có nên sử dụng Layer 7 policy trong production không? T: Layer 7 policy cung cấp kiểm soát chi tiết nhưng thêm processing overhead và complexity. Sử dụng chúng cho ranh giới bảo mật quan trọng và kiểm soát API-level, không phải cho filtering traffic rộng nơi Layer 3/4 policy đủ.
Bảo mật và tuân thủ
H: Network policy có đủ cho zero-trust security không? T: Network policy là một component của kiến trúc zero-trust. Bạn cũng cần workload identity, mã hóa, audit logging và kiểm soát bảo mật application-level. Coi chúng như network-level access control, không phải bảo mật hoàn chỉnh.
H: Làm thế nào để debug vấn đề network policy? T: Hầu hết CNI cung cấp công cụ để debug policy:
- Cilium:
cilium monitor, Hubble UI - Calico:
calicoctl get networkpolicy, flow log - Sử dụng
kubectl describe networkpolicyđể xác minh syntax policy - Test connectivity với diagnostic pod
H: Network policy có thể bảo vệ chống container escape độc hại không? T: Network policy kiểm soát network traffic, không phải container isolation. Chúng có thể giới hạn blast radius sau container escape nhưng sẽ không ngăn chặn escape. Kết hợp với Pod Security Standard, admission controller và runtime security tool.
Câu hỏi cụ thể công cụ
H: Tôi nên chọn Calico hay Cilium cho triển khai mới? T: Cân nhắc các yếu tố này:
- Chọn Cilium nếu: Bạn muốn hiệu năng eBPF tiên tiến, service mesh tích hợp, hoặc môi trường kernel hiện đại
- Chọn Calico nếu: Bạn cần tính năng enterprise đã chứng minh, tài liệu phong phú, hoặc hỗ trợ trên môi trường đa dạng
- Cả hai đều là lựa chọn xuất sắc cho hầu hết trường hợp sử dụng
H: Weave Net có còn khả thi sau khi Weaveworks đóng cửa không? T: Weave Net tiếp tục như dự án mã nguồn mở dưới sự bảo trì cộng đồng. Nó ổn định cho triển khai hiện có nhưng cân nhắc alternative cho dự án mới do tốc độ phát triển giảm và hỗ trợ enterprise.
H: Khi nào tôi nên cân nhắc Antrea thay vì tùy chọn khác? T: Chọn Antrea nếu bạn có:
- Môi trường Kubernetes hỗn hợp Windows/Linux
- Đầu tư cơ sở hạ tầng VMware hiện có
- Yêu cầu cho tính năng networking dựa trên OVS
- Cần khả năng policy nâng cao vượt ra ngoài NetworkPolicy tiêu chuẩn
Migration và vận hành
H: Làm thế nào để migrate từ CNI này sang CNI khác? T: CNI migration thường yêu cầu:
- Lập kế hoạch trong maintenance window
- Backup cấu hình mạng hiện có
- Drain và cấu hình lại node với CNI mới
- Cập nhật network policy sang định dạng CNI mới (nếu có)
- Test connectivity kỹ lưỡng
Cân nhắc blue-green cluster migration cho chuyển đổi zero-downtime.
H: Tôi có thể chạy nhiều CNI trong cùng cluster không? T: Kubernetes chỉ hỗ trợ một CNI per cluster. Tuy nhiên, một số CNI hỗ trợ nhiều data plane (như Calico hỗ trợ cả chế độ iptables và eBPF đồng thời).
H: Tôi nên cập nhật CNI bao lâu một lần? T: Tuân theo hướng dẫn này:
- Security update: Áp dụng ngay lập tức
- Feature update: Lập kế hoạch cập nhật hàng quý
- Major version: Test kỹ lưỡng trong staging trước
- Giám sát release cadence và security advisory của dự án CNI
Kết luận
Việc chọn công cụ network policy tốt nhất cho Kubernetes năm 2026 yêu cầu cân bằng hiệu năng, bảo mật, độ phức tạp vận hành và cân nhắc chi phí. Bối cảnh đã phát triển đáng kể, với các giải pháp dựa trên eBPF dẫn đầu cải thiện hiệu năng trong khi các giải pháp truyền thống tiếp tục trưởng thành các offering enterprise.
Khuyến nghị chính:
Cho hiệu năng tối đa và tính năng hiện đại: Cilium cung cấp công nghệ eBPF tiên tiến với khả năng service mesh tích hợp, khiến nó lý tưởng cho môi trường performance-critical và cloud-native.
Cho độ tin cậy Enterprise và hỗ trợ: Calico cung cấp độ ổn định đã được kiểm chứing với tính năng enterprise toàn diện, tài liệu phong phú và khả năng mở rộng đã chứng minh trên môi trường đa dạng.
Cho tính đơn giản và yêu cầu cơ bản: Weave Net cung cấp thiết lập đơn giản với mã hóa tích hợp, mặc dù cân nhắc hàm ý bảo trì dài hạn.
Cho môi trường VMware: Antrea cung cấp tích hợp tốt nhất với cơ sở hạ tầng VMware và hỗ trợ Windows vượt trội.
Cho triển khai hạn chế resource: Kube-router cung cấp overhead tối thiểu sử dụng công cụ networking Linux tiêu chuẩn.
Hệ sinh thái network policy tiếp tục phát triển nhanh chóng. Luôn được thông tin về roadmap giải pháp bạn chọn, security update và phát triển cộng đồng. Quan trọng nhất, test kỹ lưỡng trong môi trường cụ thể của bạn—hiệu năng và đặc tính vận hành có thể khác nhau đáng kể dựa trên cơ sở hạ tầng, ứng dụng và yêu cầu của bạn.
Nhớ rằng network policy chỉ là một lớp của Kubernetes security. Kết hợp chúng với Pod Security Standard, admission controller, runtime protection và observability toàn diện cho tư thế bảo mật defense-in-depth.
Tìm kiếm thêm insight bảo mật Kubernetes? Theo dõi blog của chúng tôi cho phân tích mới nhất về công cụ bảo mật cloud-native và best practice.
Từ khóa: Công cụ Network Policy tốt nhất cho Kubernetes 2026, so sánh kubernetes network policy, hiệu năng calico vs cilium, cni tốt nhất cho bảo mật, bảo mật mạng Kubernetes, so sánh CNI 2026, thực thi network policy, networking eBPF, zero-trust Kubernetes