Calico网络策略：Global vs. Namespace，最佳实践指南

在Kubernetes集群中使用Calico进行网络策略管理时，GlobalNetworkPolicy和Namespace级别的NetworkPolicy的选择常常引起团队内部的争论。本文旨在提供一种最佳实践方案，帮助你合理规划策略层级，避免策略数量失控，同时保证不同业务线之间的隔离性。

问题：GlobalNetworkPolicy vs. Namespace NetworkPolicy

• GlobalNetworkPolicy: 作用于整个集群，可以跨Namespace生效。通常由集群管理员创建和维护，用于实现全局性的安全策略，例如阻止所有Ingress流量直接访问Pod，或者限制特定IP段的访问。
• Namespace NetworkPolicy: 作用于单个Namespace，由该Namespace的管理员创建和维护。用于实现Namespace内部的访问控制，例如允许同一Namespace内的Pod互相访问，但拒绝来自其他Namespace的访问。

挑战：策略管理和隔离性

• 策略数量失控: 如果过度使用GlobalNetworkPolicy，可能会导致策略数量迅速增长，难以维护和管理。
• 业务线隔离性不足: 如果Namespace NetworkPolicy配置不当，可能会导致不同业务线之间的隔离性不足，存在安全风险。
• 策略冲突: GlobalNetworkPolicy和Namespace NetworkPolicy之间可能存在冲突，导致策略行为不符合预期。

最佳实践方案

以下是一种分层策略管理方案，旨在平衡全局控制和Namespace自治：

1. 全局策略 (GlobalNetworkPolicy)：基线安全策略

   • 目的： 建立集群级别的最低安全标准。

   • 示例：

     • Ingress流量限制： 阻止所有Ingress流量直接访问Pod，强制流量必须通过API Gateway或Ingress Controller。
     • Egress流量限制： 限制Pod访问外部网络的范围，例如只允许访问特定的域名或IP地址。
     • 基础设施Namespace保护： 保护kube-system、calico-system等基础设施Namespace，阻止未经授权的访问。

   • 管理职责： 由集群管理员统一管理和维护。

   • 注意事项：

     • 尽量保持全局策略的简洁和通用性，避免过于具体的规则。
     • 详细记录每个全局策略的目的和影响范围。
     • 定期审查和更新全局策略，确保其仍然有效和必要。

2. Namespace策略 (Namespace NetworkPolicy)：业务线自治策略

   • 目的： 允许业务线根据自身需求，自定义Namespace内部的访问控制策略。
   • 示例：
     • Pod间访问控制： 允许同一Namespace内的Pod互相访问，但拒绝来自其他Namespace的访问。
     • Service访问控制： 限制Service的访问来源，例如只允许特定的Pod或Namespace访问该Service。
     • Egress流量控制： 限制Pod访问外部服务的范围，例如只允许访问特定的数据库或API。
   • 管理职责： 由Namespace的管理员负责管理和维护。
   • 注意事项：
     • 提供清晰的策略模板和最佳实践，帮助业务线快速创建和维护Namespace策略。
     • 建立策略审查机制，确保Namespace策略符合安全规范和业务需求。
     • 监控Namespace策略的有效性，及时发现和解决问题。

3. 策略命名和标签规范

   • 为所有NetworkPolicy (Global和Namespace级别) 定义清晰的命名规范，例如：[团队]-[策略类型]-[策略目的]-[环境]，如 team-a-egress-db-prod。
   • 使用标签对NetworkPolicy进行分类和管理，例如：policy-type: egress, environment: production, team: team-a。
   • 利用标签选择器，可以方便地查找、更新和删除相关的NetworkPolicy。

4. 工具和自动化

   • 使用工具（例如Calico Enterprise Policy Board）可视化网络策略，方便理解策略之间的关系和影响。
   • 使用CI/CD流程自动化策略的部署和更新，减少人为错误。
   • 使用策略即代码 (Policy as Code) 的方法，将策略定义存储在版本控制系统中，方便管理和审计。

策略冲突解决

Calico使用优先级来解决策略冲突。GlobalNetworkPolicy的优先级高于Namespace NetworkPolicy。这意味着，如果GlobalNetworkPolicy和Namespace NetworkPolicy之间存在冲突，GlobalNetworkPolicy的规则将生效。

• 建议： 尽量避免GlobalNetworkPolicy和Namespace NetworkPolicy之间存在冲突。如果必须存在冲突，应明确定义策略的优先级，并进行充分的测试。

案例分析

假设有两个业务线：team-a和team-b。

• GlobalNetworkPolicy：
  • 阻止所有Ingress流量直接访问Pod。
  • 允许所有Pod访问DNS服务。
• Namespace NetworkPolicy (team-a)：
  • 允许同一Namespace内的Pod互相访问。
  • 允许Pod访问team-a的数据库。
  • 拒绝来自其他Namespace的访问。
• Namespace NetworkPolicy (team-b)：
  • 允许同一Namespace内的Pod互相访问。
  • 允许Pod访问team-b的数据库。
  • 拒绝来自其他Namespace的访问。

通过以上策略，可以实现以下目标：

• 集群级别的基本安全保障。
• 不同业务线之间的隔离性。
• 业务线可以根据自身需求，自定义Namespace内部的访问控制策略。

总结

合理规划Calico网络策略的层级，可以有效地管理策略数量，保证业务线之间的隔离性，并提高集群的安全性。最佳实践方案包括：使用GlobalNetworkPolicy建立基线安全策略，使用Namespace NetworkPolicy实现业务线自治策略，以及使用清晰的命名规范和标签对策略进行分类和管理。