quay.io/calico/cni:v3.28.1-linuxarm64

quay.io/calico/cni 是 Calico 项目提供的容器网络接口（CNI）插件镜像，主要用于为容器编排平台（如 Kubernetes、Docker 等）提供网络配置能力。作为 Calico 生态的核心组件，它通过实现 CNI 规范，帮助容器在创建时自动完成网络接口配置、IP 地址分配及网络策略应用，是容器网络互通的关键工具。

该插件的核心能力体现在网络模式与安全策略两方面。网络模式上，它支持覆盖网络（Overlay，如 VXLAN、IPIP）和直接路由（BGP）两种主流方案：Overlay 模式适合跨主机网络隔离，通过隧道封装实现容器互通；BGP 模式则利用动态路由协议减少网络开销，更适合对性能要求高的大规模集群。用户可根据集群规模和网络需求灵活切换，无需修改核心业务逻辑。

安全策略是其另一大亮点。Calico CNI 与 Calico 的网络策略引擎深度集成，支持基于 Pod 标签、命名空间、IP 地址段、端口等维度的细粒度访问控制。例如，可通过策略限制特定命名空间的 Pod 仅能访问指定端口，或禁止未打标签的 Pod 与数据库服务通信。这种“白名单”式的防护机制，能有效降低容器间的横向风险，尤其适合、电商等对网络安全敏感的场景。

在兼容性上，该镜像适配主流容器运行时（如 containerd、CRI-O）和 Kubernetes 各版本，部署时只需通过 CNI 配置文件指定镜像路径，即可自动完成插件注册。此外，它还支持 IPv4/IPv6 双栈网络，满足下一代网络协议的适配需求。

总的来说，quay.io/calico/cni 以“高性能、高安全、易扩展”为特点，既能通过 BGP 模式支撑万级节点的集群网络，也能通过细粒度策略保障容器通信安全，是容器编排平台构建稳定网络层的常用选择。无论是中小规模的测试环境，还是大规模生产集群，都能通过该插件快速搭建符合业务需求的容器网络。