{"id":2820,"date":"2025-09-29T10:40:36","date_gmt":"2025-09-29T10:40:36","guid":{"rendered":"https:\/\/www.netromsoftware.com\/nl\/?post_type=insights&#038;p=2820"},"modified":"2026-01-08T16:14:04","modified_gmt":"2026-01-08T16:14:04","slug":"kubernetes-calico","status":"publish","type":"insights","link":"https:\/\/www.netromsoftware.com\/nl\/insights\/kubernetes-calico\/","title":{"rendered":"Het beveiligen van je Kubernetes cluster met Calico"},"content":{"rendered":"\n<div class=\"wp-block-columns is-layout-flex wp-container-core-columns-is-layout-1 wp-block-columns-is-layout-flex\">\n<div class=\"wp-block-column is-layout-flow wp-block-column-is-layout-flow\" style=\"flex-basis:100%\">\n<p class=\"has-large-font-size\">Naarmate organisaties Kubernetes steeds vaker inzetten, wordt het beveiligen van de communicatie tussen pods een essenti\u00eble vereiste voor het waarborgen van een betrouwbare en veerkrachtige infrastructuur. Kubernetes biedt een basisimplementatie van Network Policies om het verkeer tussen pods en services te beheren. Voor eenvoudige use cases is dit doorgaans voldoende, maar productieomgevingen vragen vaak om meer geavanceerde en fijnmazige beveiligingsmaatregelen.<\/p>\n\n\n\n<p>In dit artikel wordt onderzocht hoe Calico voortbouwt op de native mogelijkheden van Kubernetes. Calico biedt uitgebreide functies die de overgang ondersteunen van eenvoudig verkeersbeheer naar een volledig beveiligingsmodel.<\/p>\n\n\n\n<h2 class=\"wp-block-heading has-medium-font-size\" id=\"h-kubernetes-network-policy-regels\">Kubernetes Network Policy regels<\/h2>\n\n\n\n<p>Een nuttige manier om over Kubernetes netwerken na te denken is via een analogie. Stel je een Kubernetes cluster voor als een land dat bestaat uit meerdere steden (namespaces). Elke stad bevat meerdere gebouwen (pods), verbonden door wegen die zowel binnen een stad als tussen steden verkeer mogelijk maken.<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Network Policies<\/strong> functioneren als verkeersregels die bij specifieke gebouwen zijn geplaatst. Ze bepalen wie naar binnen mag, wie naar buiten mag, en via welke routes (poorten).<\/li>\n\n\n\n<li><strong>Ingress regels<\/strong> zijn te vergelijken met grensposten: ze controleren bezoekers van buitenaf die toegang willen krijgen tot specifieke gebouwen (pods).<\/li>\n\n\n\n<li><strong>Egress regels<\/strong> werken als uitgaande controles: ze bepalen welk verkeer een gebouw mag verlaten, of dat nu naar andere steden (namespaces) gaat of naar externe bestemmingen zoals het internet.<\/li>\n<\/ul>\n\n\n\n<p><\/p>\n\n\n\n<p>Met deze analogie in gedachten is het nuttig om de formele concepten te bekijken die in dit artikel verder worden gebruikt.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-network-policy\" style=\"font-size:16px\"><strong>Network Policy<\/strong><\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Een Kubernetes-resource die toestemmingsregels definieert voor geselecteerde pods, op basis van IP-adressen, poorten en protocollen.<\/li>\n\n\n\n<li>Standaard kunnen pods vrij communiceren met elk ander eindpunt. Zodra een policy van toepassing is op een pod, wordt al het verkeer geweigerd tenzij het expliciet is toegestaan.<\/li>\n\n\n\n<li>Network Policies zijn additief: elke regel specificeert welke pods, namespaces of IP-ranges zijn toegestaan, en via welke poorten en protocollen.<\/li>\n<\/ul>\n\n\n\n<p><\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-ingress-en-egress-in-network-policies\" style=\"font-size:16px\"><strong>Ingress en egress in Network Policies<\/strong><\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Ingress regels<\/strong> bepalen het verkeer dat pods binnenkomt.<\/li>\n\n\n\n<li><strong>Egress regels<\/strong> bepalen het verkeer dat pods verlaat.<\/li>\n\n\n\n<li>Beide worden altijd gedefinieerd vanuit het perspectief van de pods waarop de network policy van toepassing is.<\/li>\n<\/ul>\n\n\n\n<p><\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><a href=\"https:\/\/www.netromsoftware.com\/nl\/contact\/\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"229\" src=\"http:\/\/www.netromsoftware.com\/nl\/wp-content\/uploads\/sites\/2\/2025\/05\/CTA-Button-1564-x-150-px-1564-x-500-px-1564-x-400-px-1564-x-350-px-3-1024x229.png\" alt=\"\" class=\"wp-image-2450\" srcset=\"https:\/\/www.netromsoftware.com\/nl\/wp-content\/uploads\/sites\/2\/2025\/05\/CTA-Button-1564-x-150-px-1564-x-500-px-1564-x-400-px-1564-x-350-px-3-1024x229.png 1024w, https:\/\/www.netromsoftware.com\/nl\/wp-content\/uploads\/sites\/2\/2025\/05\/CTA-Button-1564-x-150-px-1564-x-500-px-1564-x-400-px-1564-x-350-px-3-300x67.png 300w, https:\/\/www.netromsoftware.com\/nl\/wp-content\/uploads\/sites\/2\/2025\/05\/CTA-Button-1564-x-150-px-1564-x-500-px-1564-x-400-px-1564-x-350-px-3-768x172.png 768w, https:\/\/www.netromsoftware.com\/nl\/wp-content\/uploads\/sites\/2\/2025\/05\/CTA-Button-1564-x-150-px-1564-x-500-px-1564-x-400-px-1564-x-350-px-3-1536x344.png 1536w, https:\/\/www.netromsoftware.com\/nl\/wp-content\/uploads\/sites\/2\/2025\/05\/CTA-Button-1564-x-150-px-1564-x-500-px-1564-x-400-px-1564-x-350-px-3.png 1564w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/a><\/figure>\n\n\n\n<p><\/p>\n\n\n\n<h2 class=\"wp-block-heading has-medium-font-size\" id=\"h-een-praktisch-voorbeeld\">Een praktisch voorbeeld<\/h2>\n\n\n\n<p>Nu de kernconcepten duidelijk zijn, is het nuttig om te bekijken hoe de standaard Kubernetes Network Policy in de praktijk werkt, inclusief de mogelijkheden en beperkingen.<\/p>\n\n\n\n<p>Stel je een typische applicatiearchitectuur voor waarin Network Policies worden toegepast om de communicatie tussen pods in verschillende namespaces te beheersen.<\/p>\n\n\n\n<p>In dit voorbeeld:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Eindgebruikers<\/strong> hebben alleen toegang tot specifieke pods in de <em>frontend<\/em>-namespace. Deze beperking wordt afgedwongen door een default deny-all policy die in alle drie de namespaces is toegepast.<\/li>\n\n\n\n<li><strong>Pods in de backend-namespace<\/strong> accepteren uitsluitend inkomende verbindingen vanuit de <em>frontend<\/em>-namespace. Uitgaand verkeer vanuit de backend is alleen toegestaan richting de <em>db<\/em>-namespace.<\/li>\n\n\n\n<li><strong>Pods in de db-namespace<\/strong> zijn volledig ge\u00efsoleerd en accepteren uitsluitend inkomende verbindingen van pods in de <em>backend<\/em>-namespace.<\/li>\n<\/ul>\n\n\n\n<p><\/p>\n\n\n\n<p>Deze opzet laat zien hoe Network Policies gecontroleerde en voorspelbare verkeersstromen kunnen afdwingen, zodat elk onderdeel van de applicatie alleen communiceert met de beoogde services.<\/p>\n\n\n\n<p><\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><img decoding=\"async\" src=\"https:\/\/www.netromsoftware.com\/wp-content\/uploads\/2025\/09\/Infrastructure-diagram-using-Network-Policies-1024x574-1.png\" alt=\"\" class=\"wp-image-3704\"\/><\/figure>\n\n\n\n<p><\/p>\n\n\n\n<h2 class=\"wp-block-heading has-medium-font-size\" id=\"h-beperkingen-van-de-standaard-network-policy\">Beperkingen van de standaard Network Policy<\/h2>\n\n\n\n<p>Hoewel de eerder beschreven opzet voldoende kan zijn voor basisvereisten, worden in productieomgevingen (waar services gevoeliger zijn en de beveiliging zwaarder weegt) de beperkingen van de standaard (vanilla) Network Policy duidelijk. De belangrijkste zijn:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Geen clusterbrede policy.<\/strong> Network Policies zijn namespace-gebonden. Zoals in het eerdere voorbeeld moest de default deny-all policy in elke namespace apart worden toegepast. Dit verhoogt de complexiteit bij het streven naar een gestandaardiseerde, clusterbrede aanpak.<\/li>\n\n\n\n<li><strong>Pod-gecentreerd en namespace-gebonden.<\/strong> Policies richten zich op pods, niet op Services. Het is niet mogelijk een regel te defini\u00ebren zoals \u201callow to Service X.\u201d In het eerdere voorbeeld werden alle policies toegepast op pods die via labels waren geselecteerd.<\/li>\n\n\n\n<li><strong>Beperkte controle over extern verkeer.<\/strong> Er is geen DNS-gebaseerde regel voor inkomend verkeer (bijvoorbeeld het toestaan van verbindingen vanaf <em>example.com<\/em>). Alleen specifieke IP\u2019s of CIDR-ranges kunnen worden gebruikt, wat problemen oplevert wanneer publieke of dynamische IP\u2019s veranderen.<\/li>\n\n\n\n<li><strong>Geen expliciete deny-regels of prioriteit.<\/strong> Alle policies functioneren als additieve allow-lijsten. Er is geen mechanisme om deny-regels toe te passen of prioriteiten te stellen die bestaande allow-regels overschrijven.<\/li>\n\n\n\n<li><strong>Geen encryptie of observability.<\/strong> Network Policies bieden geen ondersteuning voor <a href=\"https:\/\/www.cloudflare.com\/learning\/access-management\/what-is-mutual-tls\/\" target=\"_blank\" rel=\"noreferrer noopener\">mTLS<\/a> of <a href=\"https:\/\/www.cloudflare.com\/learning\/network-layer\/what-is-ipsec\/\" target=\"_blank\" rel=\"noreferrer noopener\"><a href=\"https:\/\/www.cloudflare.com\/learning\/network-layer\/what-is-ipsec\/\" target=\"_blank\" rel=\"noreferrer noopener\">IPsec<\/a><\/a>. Hierdoor is er geen ingebouwde encryptie tussen netwerkcomponenten (pods, endpoints, enzovoort).<\/li>\n\n\n\n<li><strong>Beperkte logging van beslissingen.<\/strong> Network Policies bieden geen logging-ondersteuning voor toegepaste regels of beslissingen, waardoor het lastig is communicatieproblemen te analyseren of op te lossen.<\/li>\n<\/ul>\n\n\n\n<p><\/p>\n\n\n\n<p>Afhankelijk van de eisen van je applicatie kunnen deze beperkingen een serieuze belemmering vormen. Een mogelijke oplossing hiervoor is het <a href=\"https:\/\/www.tigera.io\/project-calico\/\" target=\"_blank\" rel=\"noreferrer noopener\">Calico project<\/a>, ontwikkeld door <a href=\"https:\/\/www.tigera.io\/project-calico\/\" target=\"_blank\" rel=\"noreferrer noopener\"><a href=\"https:\/\/www.tigera.io\/\" target=\"_blank\" rel=\"noreferrer noopener\">Tigera<\/a>.<\/a><\/p>\n\n\n\n<h2 class=\"wp-block-heading has-medium-font-size\" id=\"h-calico-doel-en-rol\">Calico: doel en rol<\/h2>\n\n\n\n<p>Volgens Tigera is Calico \u00e9\u00e9n platform voor Kubernetes-netwerken, netwerkbeveiliging en observability, geschikt voor elke Kubernetes-distributie in de <a href=\"https:\/\/www.netromsoftware.com\/nl\/software-diensten\/cloudoplossingen\/\" target=\"_blank\" rel=\"noreferrer noopener\">cloud<\/a>, on-premises of aan de edge.<\/p>\n\n\n\n<p>Of je nu net begint met Kubernetes of een volwassen, multi-node cluster beheert, Calico kan voorzien in de meeste netwerkvereisten die je applicatie of infrastructuur stelt.<\/p>\n\n\n\n<p>Zoals het gezegde luidt: <em>\u201ceen beeld zegt meer dan duizend woorden.\u201d<\/em> In dit geval biedt een overzichtsdiagram van Calico het meest bruikbare inzicht.<\/p>\n\n\n\n<p><\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><img decoding=\"async\" src=\"https:\/\/www.netromsoftware.com\/wp-content\/uploads\/2025\/09\/Calico-Landscape-Overview.png\" alt=\"\" class=\"wp-image-3705\"\/><\/figure>\n\n\n\n<p><\/p>\n\n\n\n<p>Zoals in het overzicht hierboven te zien is, heeft Calico een aantal opvallende kenmerken:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Cross-platform beschikbaarheid:<\/strong> Calico ondersteunt zowel Windows- als Linux-containers.<\/li>\n\n\n\n<li><strong>Flexibele implementatie-opties:<\/strong> Of de applicatie nu draait in een virtuele machine, op bare metal of in een container, Calico functioneert consistent in alle omgevingen.<\/li>\n\n\n\n<li><strong>Plug-and-play-integratie:<\/strong> Applicatiecomponenten hoeven niet te worden aangepast. Netwerkbeveiliging kan volledig worden beheerd door het platform- of securityteam.<\/li>\n\n\n\n<li><strong>High-performance dataplanes:<\/strong> Calico biedt de keuze tussen eBPF of iptables op Linux, gecombineerd met native routing om de prestaties te verbeteren en de platformcompatibiliteit te vergroten.<\/li>\n\n\n\n<li><strong>Meerdere leveringsmodellen:<\/strong> Calico kan op verschillende manieren worden ingezet: als onderdeel van een zelfbeheerde Kubernetes-distributie of als SaaS-optie in Azure, AWS of Google Cloud.<\/li>\n<\/ul>\n\n\n\n<p><\/p>\n\n\n\n<h2 class=\"wp-block-heading has-medium-font-size\" id=\"h-wat-calico-anders-maakt\">Wat Calico anders maakt<\/h2>\n\n\n\n<p>Nu het doel van Calico is toegelicht, kunnen we teruggaan naar het eerdere voorbeeld en de beperkingen bekijken die zijn vastgesteld bij de standaard Kubernetes Network Policy.<\/p>\n\n\n\n<p>Calico breidt de standaard Kubernetes Network Policy uit met extra mogelijkheden die meer controle geven over het verkeer binnen een cluster. Hieronder worden de eerder genoemde beperkingen opnieuw bekeken, samen met de manier waarop Calico deze aanpakt:<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-global-network-policy\"><strong>Global Network Policy<\/strong><\/h4>\n\n\n\n<p>In tegenstelling tot Kubernetes Network Policy, die beperkt is tot een enkele namespace, kan Calico\u2019s Global Network Policy regels toepassen over alle namespaces heen of specifieke namespaces targeten. Dit maakt het mogelijk om beveiligingsregels consistent clusterbreed af te dwingen.<\/p>\n\n\n\n<p>Zo kan \u00e9\u00e9n enkele default deny-all policy worden gedefinieerd die voor het hele cluster geldt. Dit sluit aan bij het Zero Trust Network-model, waarbij al het verkeer standaard wordt geweigerd en toegang alleen wordt verleend waar dat expliciet nodig is. Meer details <a href=\"https:\/\/docs.tigera.io\/calico\/latest\/reference\/resources\/globalnetworkpolicy\" target=\"_blank\" rel=\"noreferrer noopener\">hier<\/a>.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-targeting-kubernetes-services\"><strong>Targeting Kubernetes Services<\/strong><\/h4>\n\n\n\n<p>In tegenstelling tot de standaard Network Policy, die alleen label selectors ondersteunt, maakt Calico het mogelijk om policies te richten op een specifieke Kubernetes Service binnen een namespace. Hierdoor kan bijvoorbeeld toegang vanuit de <em>frontend<\/em>-namespace direct naar de <em>backend-service<\/em> worden gedefinieerd. Meer details <a href=\"https:\/\/docs.tigera.io\/calico-cloud\/network-policy\/domain-based-policy\" target=\"_blank\" rel=\"noreferrer noopener\">hier<\/a>.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-dns-fqdn-gebaseerde-egressregels\"><strong>DNS\/FQDN-gebaseerde egressregels<\/strong><\/h4>\n\n\n\n<p>Calico ondersteunt DNS- of FQDN-gebaseerde egressregels, waardoor verkeer naar domeinnamen zoals <em>api.example.com<\/em> kan worden toegestaan. Dit biedt een controlemechanisme dat standaard Kubernetes policies niet bieden, en is vooral waardevol bij het reguleren van internettoegang. DNS-gebaseerde deny-regels worden nog niet ondersteund. Meer details <a href=\"https:\/\/docs.tigera.io\/calico-cloud\/network-policy\/domain-based-policy\">hier<\/a>.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-policy-tiers\"><strong>Policy tiers<\/strong><\/h4>\n\n\n\n<p>Calico introduceert <strong>policy tiers<\/strong>, zoals <em>security<\/em>, <em>platform<\/em> en <em>application<\/em>. Deze tiers bepalen de volgorde en prioriteit waarin regels worden toegepast. Een securityteam kan bijvoorbeeld policies beheren in een bovenliggende tier die altijd geldt voordat applicatiespecifieke regels worden toegepast.<\/p>\n\n\n\n<p>Bij vanilla Network Policies kunnen alleen additieve regels worden toegepast, die allemaal op hetzelfde niveau functioneren.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-geavanceerde-beveiligingsfuncties\"><strong>Geavanceerde beveiligingsfuncties<\/strong><\/h4>\n\n\n\n<p>Calico voegt verschillende geavanceerde mogelijkheden toe:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Expliciete deny-regels<\/strong>, waarmee je nauwkeuriger kunt bepalen welk verkeer wordt geblokkeerd.<\/li>\n\n\n\n<li><strong>Encryptie van data in transit<\/strong>, dankzij de integratie met WireGuard, waarmee communicatie tussen pods en nodes wordt beveiligd.<\/li>\n<\/ul>\n\n\n\n<p><\/p>\n\n\n\n<p>Lees meer over <a href=\"https:\/\/docs.tigera.io\/calico\/latest\/network-policy\/encrypt-cluster-pod-traffic#about-wireguard\" target=\"_blank\" rel=\"noreferrer noopener\">hoe je inter-node, in-cluster encryptie kunt inschakelen.<\/a><\/p>\n\n\n\n<h4 class=\"wp-block-heading\"><strong>Observability<\/strong><\/h4>\n\n\n\n<p>Bij vanilla Network Policies is de zichtbaarheid van communicatie binnen het cluster beperkt, wat het oplossen van problemen lastig maakt.<\/p>\n\n\n\n<p>Calico biedt uitgebreide observability-functies, waaronder DNS-logs, flow-logs en Layer 7-logs. Hiermee kunnen beheerders policies effectief monitoren, valideren en debuggen. Zelfs in de open-sourceversie is er een dashboard beschikbaar via <a href=\"https:\/\/docs.tigera.io\/calico\/latest\/observability\/view-flow-logs\">Calico Whisker<\/a>, dat realtime netwerkactiviteit weergeeft op basis van flow-logs.<\/p>\n\n\n\n<p><\/p>\n\n\n\n<figure class=\"wp-block-table\"><table class=\"has-fixed-layout\"><thead><tr><th><strong>Kenmerk<\/strong><\/th><th><strong>Vanilla Network Policy<\/strong><\/th><th><strong>Calico Network Policy<\/strong><\/th><\/tr><\/thead><tbody><tr><td><strong>Scope<\/strong><\/td><td>Policies beperkt tot \u00e9\u00e9n namespace<\/td><td>Ondersteunt zowel namespace-scoped (Network Policy) als clusterbrede (Global Network Policy) regels<\/td><\/tr><tr><td><strong>Default-deny gedrag<\/strong><\/td><td>Moet expliciet worden gedefinieerd<\/td><td>Eenvoudig in te stellen als baseline voor zowel ingress- als egress-verkeer<\/td><\/tr><tr><td><strong>Deny-regels<\/strong><\/td><td>Alleen allow-regels worden ondersteund<\/td><td>Volledige ondersteuning voor deny-regels bij zowel ingress als egress<\/td><\/tr><tr><td><strong>DNS \/ FQDN-regels<\/strong><\/td><td>Niet ondersteund<\/td><td>Ondersteunt DNS- en FQDN-gebaseerde egress-regels<\/td><\/tr><tr><td><strong>Policy-ordering<\/strong><\/td><td>Geen tiers; alle policies worden gelijk toegepast<\/td><td>Ondersteunt tiered policy-ordering (bijv. infrastructuur vs. applicatieniveau)<\/td><\/tr><tr><td><strong>Advanced matching<\/strong><\/td><td>Beperkt tot basis pod- en namespace-selectors<\/td><td>Ondersteunt IP-blocks, named ports, service accounts en andere geavanceerde matchcriteria<\/td><\/tr><tr><td><strong>Custom Resources (CRD\u2019s)<\/strong><\/td><td>Alleen de ingebouwde Network Policy is beschikbaar<\/td><td>Extra CRD\u2019s zoals Global Network Policy, NetworkSet en HostEndpoint<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p><\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-belangrijke-integraties-ebpf-wireguard-en-envoy\"><strong>Belangrijke integraties: eBPF, WireGuard en Envoy<\/strong><\/h4>\n\n\n\n<p>Calico integreert met verschillende technologie\u00ebn om de beveiliging te versterken, de prestaties te verbeteren en meer inzicht te krijgen in Kubernetes-clusters:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>eBPF<\/strong> verplaatst netwerk- en beveiligingslogica rechtstreeks naar de Linux-kernel, wat zorgt voor hogere prestaties en gedetailleerd inzicht in packet flows.<\/li>\n\n\n\n<li><strong>WireGuard<\/strong> biedt lichte, snelle encryptie voor pod-naar-pod- en pod-naar-servicecommunicatie.<\/li>\n\n\n\n<li><strong>Envoy<\/strong> werkt samen met Calico om service-to-service-beveiligingsregels toe te passen en af te dwingen, waardoor applicaties worden beschermd op zowel netwerk- als applicatieniveau.<\/li>\n<\/ul>\n\n\n\n<p><\/p>\n\n\n\n<p>Gezamenlijk laten deze integraties zien hoe Calico verder gaat dan basis network policies en zich ontwikkelt tot een compleet netwerk- en beveiligingsplatform voor Kubernetes. Ze verbeteren de prestaties, bieden encryptie en vergroten de zichtbaarheid van netwerkverkeer.<\/p>\n\n\n\n<p>Dit zijn echter niet de enige functies die Calico biedt, en er is ook niet slechts \u00e9\u00e9n editie beschikbaar. In de volgende sectie worden de verschillende productie-edities van Calico besproken en hun beoogde toepassingen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading has-medium-font-size\" id=\"h-calico-open-source-vs-cloud\">Calico: Open Source vs. Cloud<\/h2>\n\n\n\n<p>Bij het kiezen van Calico zijn er twee hoofdvarianten om te overwegen: <strong>Calico Open Source<\/strong> en <strong>Calico Cloud<\/strong>. Beide zijn uitgebreid in functionaliteit, maar richten zich op verschillende behoeften, afhankelijk van de fase waarin een organisatie zich bevindt met de adoptie van Kubernetes.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-calico-open-source-diy-control\"><strong>Calico Open Source &#8211; DIY control<\/strong><\/h4>\n\n\n\n<p>Voor organisaties die hun eigen infrastructuur willen beheren, biedt de open-source editie van Calico een solide basis voor Kubernetes-netwerken en -beveiliging. Belangrijke kenmerken zijn:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Volledige ondersteuning voor Kubernetes Network Policies<\/li>\n\n\n\n<li>Flexibiliteit om aan te passen en uit te breiden naar de behoeften van het cluster<\/li>\n\n\n\n<li>Een actieve community voor ondersteuning en samenwerking<\/li>\n\n\n\n<li>Kosteloos beschikbaar, aantrekkelijk voor omgevingen waar kostenbeheersing belangrijk is<\/li>\n<\/ul>\n\n\n\n<p><\/p>\n\n\n\n<p>De keerzijde is dat de open-source editie intern beheer vereist van upgrades, monitoring en troubleshooting. Dit kan leiden tot een langere time-to-market voor geavanceerde functies en meer onderhoudsinspanning, omdat de organisatie zelf verantwoordelijk is voor de operationele stabiliteit.<\/p>\n\n\n\n<p><em>Voorbeeld: Calico Whisker<\/em><br>De open-source editie bevat ook observability-functionaliteit. Zo biedt Calico Whisker een lichtgewicht dashboard dat realtime inzicht geeft in netwerkstromen.<\/p>\n\n\n\n<p><\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" src=\"https:\/\/www.netromsoftware.com\/wp-content\/uploads\/2025\/09\/Calico-Whisker-Dashboard-1024x625.png\" alt=\"\" class=\"wp-image-3706\"\/><figcaption class=\"wp-element-caption\">Calico Whisker Dashboard<\/figcaption><\/figure>\n\n\n\n<p><\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-calico-cloud-managed-simplicity\"><strong>Calico Cloud &#8211; Managed simplicity<\/strong><\/h4>\n\n\n\n<p>Calico Cloud bouwt voort op de open-source basis en biedt een managed service die beschikbaar is op grote cloudplatforms zoals Azure, AWS en Google Cloud.<\/p>\n\n\n\n<p>Naast de mogelijkheden van de open-source editie biedt Calico Cloud:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>E\u00e9n centrale beheeromgeving om meerdere clusters via \u00e9\u00e9n interface aan te sturen<\/li>\n\n\n\n<li>Realtime visualisatie van netwerkverkeer<\/li>\n\n\n\n<li>Ingebouwde compliance- en audittools om aan regelgeving te voldoen zonder extra ontwikkelinspanning<\/li>\n\n\n\n<li>Geavanceerde beveiligingsfuncties zoals intrusion detection, zero-trust enforcement en meer<\/li>\n<\/ul>\n\n\n\n<p><\/p>\n\n\n\n<p>Deze editie vereist een abonnementsvergoeding, maar levert in ruil daarvoor een snellere time-to-market, minder onderhoudslast en verbeterde beveiliging en observability.<\/p>\n\n\n\n<p><em>Voorbeeld: Calico Cloud Dashboard<\/em><br>Het onderstaande voorbeeld laat de geavanceerde observability-functionaliteit zien die beschikbaar is in Calico Cloud.<\/p>\n\n\n\n<p><\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><img decoding=\"async\" src=\"https:\/\/www.netromsoftware.com\/wp-content\/uploads\/2025\/09\/Calico-Cloud-Dashboard-1024x520-1.png\" alt=\"\" class=\"wp-image-3707\"\/><figcaption class=\"wp-element-caption\">Calico Cloud Dashboard<\/figcaption><\/figure>\n\n\n\n<p><\/p>\n\n\n\n<p>De twee edities kunnen ook worden vergeleken vanuit een meer strategisch perspectief, gericht op bredere operationele criteria:<\/p>\n\n\n\n<p><\/p>\n\n\n\n<figure class=\"wp-block-table\"><table class=\"has-fixed-layout\"><thead><tr><th><strong>Aspect<\/strong><\/th><th><strong>Calico Open Source<\/strong><\/th><th><strong>Calico Cloud<\/strong><\/th><\/tr><\/thead><tbody><tr><td><strong>Time to Market (TTM)<\/strong><\/td><td>Langzamer (DIY-setup en integratie vereist)<\/td><td>Sneller (kant-en-klare functies, geleverd als managed service)<\/td><\/tr><tr><td><strong>Onderhoud<\/strong><\/td><td>Hoger (je team beheert updates, schaalbaarheid en monitoring)<\/td><td>Lager (Tigera beheert upgrades, schaalbaarheid en integraties)<\/td><\/tr><tr><td><strong>Kosten<\/strong><\/td><td>Gratis<\/td><td>Abonnementsmodel (extra kosten, maar voorspelbaar budget)<\/td><\/tr><tr><td><strong>Flexibiliteit<\/strong><\/td><td>Maximum (volledige controle, open ecosysteem)<\/td><td>Gebalanceerd (minder DIY-inspanning, meer out-of-the-box-functionaliteit)<\/td><\/tr><tr><td><strong>Zichtbaarheid<\/strong><\/td><td>Beperkt (vereist extra tooling voor flow monitoring)<\/td><td>Ingebouwde visualisatie van netwerkverkeer en auditmogelijkheden<\/td><\/tr><tr><td><strong>Beveiliging<\/strong><\/td><td>Basis (network policy)<\/td><td>Geavanceerd (intrusion detection, zero trust, compliancefuncties)<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p><\/p>\n\n\n\n<p>Voor een volledige lijst van beschikbare functies,<a href=\"https:\/\/docs.tigera.io\/calico\/latest\/about\/calico-product-editions#feature-comparison-matrix\" target=\"_blank\" rel=\"noreferrer noopener\"> bekijk de offici\u00eble vergelijkingsmatrix<\/a>.<\/p>\n\n\n\n<h2 class=\"wp-block-heading has-medium-font-size\" id=\"h-conclusie\">Conclusie<\/h2>\n\n\n\n<p>Vanilla Network Policies vormen een nuttig startpunt. In praktijkomgevingen met Kubernetes zijn echter vaak zwaardere maatregelen nodig om aan de beveiligingseisen van productie te voldoen. Calico breidt de native mogelijkheden uit en levert daarmee een meer compleet beveiligingskader dat geschikt is voor productiegebruik.<\/p>\n\n\n\n<p>Door integratie met technologie\u00ebn zoals eBPF, WireGuard en Envoy verbetert Calico bovendien de prestaties, biedt het encryptie en versterkt het de beveiliging op serviceniveau.<\/p>\n<\/div>\n<\/div>\n\n\n\n<p><\/p>\n","protected":false},"featured_media":2821,"menu_order":0,"template":"","meta":{"content-type":""},"insights_category":[10],"class_list":["post-2820","insights","type-insights","status-publish","has-post-thumbnail","hentry","insights_category-technische-artikelen"],"acf":[],"yoast_head":"<!-- This site is optimized with the Yoast SEO Premium plugin v24.7 (Yoast SEO v24.7) - https:\/\/yoast.com\/wordpress\/plugins\/seo\/ -->\n<title>Kubernetes Calico: Open Source vs Cloud<\/title>\n<meta name=\"description\" content=\"Calico verbetert Kubernetes beveiliging met policies, encryptie en observability. Ontdek Open Source en Cloud.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/www.netromsoftware.com\/nl\/insights\/kubernetes-calico\/\" \/>\n<meta property=\"og:locale\" content=\"nl_NL\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Het beveiligen van je Kubernetes cluster met Calico\" \/>\n<meta property=\"og:description\" content=\"Calico verbetert Kubernetes beveiliging met policies, encryptie en observability. Ontdek Open Source en Cloud.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/www.netromsoftware.com\/nl\/insights\/kubernetes-calico\/\" \/>\n<meta property=\"og:site_name\" content=\"NetRom Software NL\" \/>\n<meta property=\"article:modified_time\" content=\"2026-01-08T16:14:04+00:00\" \/>\n<meta property=\"og:image\" content=\"http:\/\/www.netromsoftware.com\/nl\/wp-content\/uploads\/sites\/2\/2025\/09\/Securing-Your-Kubernetes-Cluster-with-Calico-scaled-395x256-1.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"395\" \/>\n\t<meta property=\"og:image:height\" content=\"256\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Geschatte leestijd\" \/>\n\t<meta name=\"twitter:data1\" content=\"12 minuten\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"WebPage\",\"@id\":\"https:\/\/www.netromsoftware.com\/nl\/insights\/kubernetes-calico\/\",\"url\":\"https:\/\/www.netromsoftware.com\/nl\/insights\/kubernetes-calico\/\",\"name\":\"Kubernetes Calico: Open Source vs Cloud\",\"isPartOf\":{\"@id\":\"https:\/\/www.netromsoftware.com\/nl\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\/\/www.netromsoftware.com\/nl\/insights\/kubernetes-calico\/#primaryimage\"},\"image\":{\"@id\":\"https:\/\/www.netromsoftware.com\/nl\/insights\/kubernetes-calico\/#primaryimage\"},\"thumbnailUrl\":\"https:\/\/www.netromsoftware.com\/nl\/wp-content\/uploads\/sites\/2\/2025\/09\/Securing-Your-Kubernetes-Cluster-with-Calico-scaled-395x256-1.jpg\",\"datePublished\":\"2025-09-29T10:40:36+00:00\",\"dateModified\":\"2026-01-08T16:14:04+00:00\",\"description\":\"Calico verbetert Kubernetes beveiliging met policies, encryptie en observability. Ontdek Open Source en Cloud.\",\"breadcrumb\":{\"@id\":\"https:\/\/www.netromsoftware.com\/nl\/insights\/kubernetes-calico\/#breadcrumb\"},\"inLanguage\":\"nl-NL\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/www.netromsoftware.com\/nl\/insights\/kubernetes-calico\/\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"nl-NL\",\"@id\":\"https:\/\/www.netromsoftware.com\/nl\/insights\/kubernetes-calico\/#primaryimage\",\"url\":\"https:\/\/www.netromsoftware.com\/nl\/wp-content\/uploads\/sites\/2\/2025\/09\/Securing-Your-Kubernetes-Cluster-with-Calico-scaled-395x256-1.jpg\",\"contentUrl\":\"https:\/\/www.netromsoftware.com\/nl\/wp-content\/uploads\/sites\/2\/2025\/09\/Securing-Your-Kubernetes-Cluster-with-Calico-scaled-395x256-1.jpg\",\"width\":395,\"height\":256},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\/\/www.netromsoftware.com\/nl\/insights\/kubernetes-calico\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Insights\",\"item\":\"https:\/\/www.netromsoftware.com\/nl\/insights\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Het beveiligen van je Kubernetes cluster met Calico\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/www.netromsoftware.com\/nl\/#website\",\"url\":\"https:\/\/www.netromsoftware.com\/nl\/\",\"name\":\"NetRom Software NL\",\"description\":\"\",\"publisher\":{\"@id\":\"https:\/\/www.netromsoftware.com\/nl\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/www.netromsoftware.com\/nl\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"nl-NL\"},{\"@type\":\"Organization\",\"@id\":\"https:\/\/www.netromsoftware.com\/nl\/#organization\",\"name\":\"NetRom Software NL\",\"url\":\"https:\/\/www.netromsoftware.com\/nl\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"nl-NL\",\"@id\":\"https:\/\/www.netromsoftware.com\/nl\/#\/schema\/logo\/image\/\",\"url\":\"https:\/\/www.netromsoftware.com\/nl\/wp-content\/uploads\/sites\/2\/2024\/03\/NetromSoftware.svg\",\"contentUrl\":\"https:\/\/www.netromsoftware.com\/nl\/wp-content\/uploads\/sites\/2\/2024\/03\/NetromSoftware.svg\",\"width\":122,\"height\":36,\"caption\":\"NetRom Software NL\"},\"image\":{\"@id\":\"https:\/\/www.netromsoftware.com\/nl\/#\/schema\/logo\/image\/\"}}]}<\/script>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"Kubernetes Calico: Open Source vs Cloud","description":"Calico verbetert Kubernetes beveiliging met policies, encryptie en observability. Ontdek Open Source en Cloud.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/www.netromsoftware.com\/nl\/insights\/kubernetes-calico\/","og_locale":"nl_NL","og_type":"article","og_title":"Het beveiligen van je Kubernetes cluster met Calico","og_description":"Calico verbetert Kubernetes beveiliging met policies, encryptie en observability. Ontdek Open Source en Cloud.","og_url":"https:\/\/www.netromsoftware.com\/nl\/insights\/kubernetes-calico\/","og_site_name":"NetRom Software NL","article_modified_time":"2026-01-08T16:14:04+00:00","og_image":[{"width":395,"height":256,"url":"http:\/\/www.netromsoftware.com\/nl\/wp-content\/uploads\/sites\/2\/2025\/09\/Securing-Your-Kubernetes-Cluster-with-Calico-scaled-395x256-1.jpg","type":"image\/jpeg"}],"twitter_card":"summary_large_image","twitter_misc":{"Geschatte leestijd":"12 minuten"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"WebPage","@id":"https:\/\/www.netromsoftware.com\/nl\/insights\/kubernetes-calico\/","url":"https:\/\/www.netromsoftware.com\/nl\/insights\/kubernetes-calico\/","name":"Kubernetes Calico: Open Source vs Cloud","isPartOf":{"@id":"https:\/\/www.netromsoftware.com\/nl\/#website"},"primaryImageOfPage":{"@id":"https:\/\/www.netromsoftware.com\/nl\/insights\/kubernetes-calico\/#primaryimage"},"image":{"@id":"https:\/\/www.netromsoftware.com\/nl\/insights\/kubernetes-calico\/#primaryimage"},"thumbnailUrl":"https:\/\/www.netromsoftware.com\/nl\/wp-content\/uploads\/sites\/2\/2025\/09\/Securing-Your-Kubernetes-Cluster-with-Calico-scaled-395x256-1.jpg","datePublished":"2025-09-29T10:40:36+00:00","dateModified":"2026-01-08T16:14:04+00:00","description":"Calico verbetert Kubernetes beveiliging met policies, encryptie en observability. Ontdek Open Source en Cloud.","breadcrumb":{"@id":"https:\/\/www.netromsoftware.com\/nl\/insights\/kubernetes-calico\/#breadcrumb"},"inLanguage":"nl-NL","potentialAction":[{"@type":"ReadAction","target":["https:\/\/www.netromsoftware.com\/nl\/insights\/kubernetes-calico\/"]}]},{"@type":"ImageObject","inLanguage":"nl-NL","@id":"https:\/\/www.netromsoftware.com\/nl\/insights\/kubernetes-calico\/#primaryimage","url":"https:\/\/www.netromsoftware.com\/nl\/wp-content\/uploads\/sites\/2\/2025\/09\/Securing-Your-Kubernetes-Cluster-with-Calico-scaled-395x256-1.jpg","contentUrl":"https:\/\/www.netromsoftware.com\/nl\/wp-content\/uploads\/sites\/2\/2025\/09\/Securing-Your-Kubernetes-Cluster-with-Calico-scaled-395x256-1.jpg","width":395,"height":256},{"@type":"BreadcrumbList","@id":"https:\/\/www.netromsoftware.com\/nl\/insights\/kubernetes-calico\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Insights","item":"https:\/\/www.netromsoftware.com\/nl\/insights\/"},{"@type":"ListItem","position":2,"name":"Het beveiligen van je Kubernetes cluster met Calico"}]},{"@type":"WebSite","@id":"https:\/\/www.netromsoftware.com\/nl\/#website","url":"https:\/\/www.netromsoftware.com\/nl\/","name":"NetRom Software NL","description":"","publisher":{"@id":"https:\/\/www.netromsoftware.com\/nl\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/www.netromsoftware.com\/nl\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"nl-NL"},{"@type":"Organization","@id":"https:\/\/www.netromsoftware.com\/nl\/#organization","name":"NetRom Software NL","url":"https:\/\/www.netromsoftware.com\/nl\/","logo":{"@type":"ImageObject","inLanguage":"nl-NL","@id":"https:\/\/www.netromsoftware.com\/nl\/#\/schema\/logo\/image\/","url":"https:\/\/www.netromsoftware.com\/nl\/wp-content\/uploads\/sites\/2\/2024\/03\/NetromSoftware.svg","contentUrl":"https:\/\/www.netromsoftware.com\/nl\/wp-content\/uploads\/sites\/2\/2024\/03\/NetromSoftware.svg","width":122,"height":36,"caption":"NetRom Software NL"},"image":{"@id":"https:\/\/www.netromsoftware.com\/nl\/#\/schema\/logo\/image\/"}}]}},"_links":{"self":[{"href":"https:\/\/www.netromsoftware.com\/nl\/wp-json\/wp\/v2\/insights\/2820","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.netromsoftware.com\/nl\/wp-json\/wp\/v2\/insights"}],"about":[{"href":"https:\/\/www.netromsoftware.com\/nl\/wp-json\/wp\/v2\/types\/insights"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.netromsoftware.com\/nl\/wp-json\/wp\/v2\/media\/2821"}],"wp:attachment":[{"href":"https:\/\/www.netromsoftware.com\/nl\/wp-json\/wp\/v2\/media?parent=2820"}],"wp:term":[{"taxonomy":"insights_category","embeddable":true,"href":"https:\/\/www.netromsoftware.com\/nl\/wp-json\/wp\/v2\/insights_category?post=2820"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}