k8s cni calico

在Kubernetes（K8S）集群中，Calico 是一种常用的容器网络接口（CNI）插件，用于实现容器之间的网络通信。在本文中，我们将介绍如何在Kubernetes集群中部署和配置Calico插件。

### 步骤概述

| 步骤 | 操作 |
| --- | --- |
| 1 | 安装Kubernetes集群 |
| 2 | 下载并安装Calico插件 |
| 3 | 配置Calico网络策略 |

### 具体步骤及代码示例

#### 步骤 1：安装Kubernetes集群

首先，确保你已经安装好了Kubernetes集群。若尚未安装，可按照官方文档进行安装。

#### 步骤 2：下载并安装Calico插件

在Kubernetes集群的Master节点上执行以下命令，下载并安装Calico插件：

```bash
kubectl apply -f https://docs.projectcalico.org/manifests/calico.yaml
```

该命令会从Calico官方文档提供的YAML文件中创建对应的资源，包括DaemonSet、Pod、Service等。

#### 步骤 3：配置Calico网络策略

配置Calico网络策略，以实现容器之间的网络通信和访问控制。在Kubernetes集群中创建NetworkPolicy资源对象，指定允许或拒绝流量的规则。

以下是一个示例NetworkPolicy对象的定义：

```yaml
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: allow-nginx
spec:
podSelector:
matchLabels:
run: nginx
policyTypes:
- Ingress
- Egress
ingress:
- from:
- ipBlock:
cidr: 192.168.1.0/24
ports:
- protocol: TCP
port: 80
egress:
- to:
- ipBlock:
cidr: 10.0.0.0/16
ports:
- protocol: TCP
port: 443
```

在上述示例中，定义了一个名为`allow-nginx`的NetworkPolicy对象，指定了允许来自`192.168.1.0/24`网段的流量访问`nginx`容器的`TCP 80`端口，同时允许`nginx`容器访问`10.0.0.0/16`网段的`TCP 443`端口。

通过以上步骤的操作，你已经成功部署和配置了Calico插件，实现了在Kubernetes集群中使用Calico进行容器网络通信和访问控制。希望这篇文章能够帮助你更好地理解和应用K8S的CNI插件Calico。如果有任何问题或疑惑，欢迎留言讨论！