Cilium 网络安全策略执行速查表
核心结论:该网页聚焦 Cilium 的网络安全策略执行机制:
-
明确了有状态策略管控逻辑
-
出入站 enforcement 方式
-
多主机集群身份验证机制
-
以及默认安全策略规则。
1. 策略执行核心机制
-
针对会话类协议采用有状态执行:允许A -> B的连接后,自动放行 B -> A的回复包,但 B 无法主动发起对 A 的连接,双向通信需明确配置: A -> B & B -> A 两端的策略都要配置。
-
支持入站(ingress)和出站(egress)管控:入站时,集群节点验证传入数据包是否允许送达目标端点,出站时,验证传出数据包是否允许前往目标地址。
-
多主机集群的身份验证:发送端点的身份会嵌入数据包(是的,没错,就在 packet 里面),接收节点提取身份后,验证其与本地端点的通信权限。
2. 默认安全策略规则
-
无策略加载时:默认允许所有通信,除非手动启用策略执行。
-
加载第一条策略后:策略执行自动启用,所有通信需纳入白名单,未允许的数据包会被丢弃。
-
端点与 L4 策略关联规则:未关联任何 L4 策略时,允许所有端口的出入通信;关联至少一个 L4 策略后,仅明确允许的端口可通信,其余端口连接被阻断。
