Excalidraw与Cilium网络策略可视化

Excalidraw 与 Cilium 网络策略的可视化协同：从抽象规则到直观表达

在现代云原生环境中，一个微服务之间的通信路径可能比地铁线路图还复杂。当安全团队提出“只允许订单服务访问用户服务的 gRPC 接口”这样的需求时，开发、运维和架构师往往需要反复确认才能达成一致——不是因为技术实现难，而是因为意图传递的成本太高。

Cilium 提供了强大的基于 eBPF 的网络策略控制能力，支持细粒度的CiliumNetworkPolicy配置。但 YAML 文件中的fromEndpoints和toPorts规则对非专家而言如同天书。有没有一种方式，能让这些抽象策略变得“一眼看懂”？答案是：用视觉语言说话。

Excalidraw 正是在这个背景下脱颖而出的工具。它不追求精准制图，反而刻意模拟手绘风格，降低心理门槛；它不限于静态展示，还能实时协作、嵌入系统、甚至通过 AI 自动生成草图。将 Excalidraw 引入 Cilium 策略设计流程，并非简单的“画张图”，而是一次工程沟通范式的升级。

为什么传统文档难以承载网络策略？

设想这样一个场景：你在审查一份包含十几条入口/出口规则的CiliumNetworkPolicy，每条规则涉及标签选择器、端口范围、协议类型。即使你熟悉 CRD 结构，也需要花费大量时间在脑海中构建拓扑模型——而这还只是单个策略。多个策略叠加后的实际效果呢？是否存在隐式放行或冲突？这些问题很难仅靠文本推理解决。

更糟糕的是，一旦出现误解，后果可能是灾难性的：误开防火墙导致数据泄露，或是误阻断关键链路引发服务雪崩。而这类问题往往出现在跨团队协作中——安全团队写策略，开发团队实现，SRE 团队维护，每个人的理解略有偏差，最终积少成多。

这正是可视化介入的最佳时机。人类大脑处理图像的速度远超文字。一张清晰的架构图可以瞬间建立共识，避免“你说的 frontend 是哪个命名空间里的？”这种低效对话。

Excalidraw 不只是一个白板

很多人第一次看到 Excalidraw 会觉得：“这不就是个会抖动的画板吗？”但实际上，它的设计哲学非常深刻：降低表达门槛，提升协作密度。

它运行在浏览器中，打开即用，无需安装客户端；支持离线使用，保障敏感信息不外泄；所有内容以 JSON 存储，天然可版本化管理。更重要的是，它的数据结构极其透明：

{ "type": "excalidraw", "version": 2, "elements": [ { "id": "A1", "type": "rectangle", "x": 100, "y": 100, "width": 80, "height": 40, "text": "frontend" }, { "id": "B1", "type": "arrow", "startBinding": { "elementId": "A1" }, "endBinding": { "elementId": "C1" }, "label": { "text": "HTTP → 8080" } } ] }

这段 JSON 描述了一个矩形（代表 Pod）和一条带标签的箭头（代表流量）。它既可以直接渲染成图形，也可以被程序解析、生成或比对。这意味着我们不仅可以“用手画图”，还可以“用代码生成图”。

比如，在 CI 流程中自动根据最新的NetworkPolicy渲染出当前集群的通信视图，并附在 PR 说明里， reviewers 就能直观判断变更是否符合预期。

如何让 AI 帮你画出第一版策略图？

手动绘图固然灵活，但在初期构思阶段效率偏低。幸运的是，Excalidraw 社区已支持接入大语言模型（LLM），实现“一句话出图”。我们可以编写脚本，把自然语言描述转化为标准的.excalidraw.json文件。

下面是一个实用的 Python 示例：

import openai import json def generate_excalidraw_from_policy_description(prompt): system_msg = """ You are a technical assistant that converts network policy descriptions into Excalidraw-compatible JSON structures. Output only valid JSON in the format expected by Excalidraw elements array. Use rectangles for Pods, arrows for flows, and labels for ports/protocols. Deny rules should be marked with red dashed lines or 'DENY' tag. """ response = openai.ChatCompletion.create( model="gpt-4", messages=[ {"role": "system", "content": system_msg}, {"role": "user", "content": prompt} ], temperature=0.5 ) try: elements = json.loads(response.choices[0].message['content']) return { "type": "excalidraw", "version": 2, "source": "ai-generated", "elements": elements } except Exception as e: print(f"Parse error: {e}") return None # 使用示例 policy_desc = """ Draw a diagram showing three Kubernetes pods: frontend, backend, and database. Show that frontend can talk to backend on port 8080, backend can connect to database on port 5432, and all other traffic is denied using CiliumNetworkPolicy. """ diagram_json = generate_excalidraw_from_policy_description(policy_desc) if diagram_json: with open("cilium_policy_diagram.excalidraw.json", "w") as f: json.dump(diagram_json, f, indent=2)

运行后，你会得到一个可直接导入 Excalidraw 的 JSON 文件。虽然 AI 可能不会完全准确（例如遗漏某些 deny 规则），但它能快速生成一个讨论起点，节省至少 80% 的初始建模时间。

⚠️ 注意：对于生产环境的关键策略，AI 输出必须经过人工校验。建议将其定位为“辅助草图生成器”，而非“自动决策引擎”。

实际工作流中的集成模式

在一个成熟的 DevSecOps 流程中，Excalidraw 并非孤立存在，而是作为“语义翻译层”嵌入整个策略生命周期：

[开发者] ↓ (提出策略设想) [Excalidraw 白板] ←→ [AI 模型]（文本转图） ↓ (生成可视化草案) [团队评审会议] ↓ (确认逻辑正确性) [Git 仓库]（保存 .excalidraw.json） ↓ [Confluence / Wiki]（嵌入展示） ↓ [Cilium YAML 配置生成器]（人工参考图示编码） ↓ [Kubernetes 集群]（应用 CiliumNetworkPolicy）

在这个链条中，.excalidraw.json成为了设计资产的一等公民，与代码、配置文件同等重要。每次策略变更都伴随着图表更新，确保文档始终与现实同步。

更有前瞻性的团队已经开始尝试反向路径：从图形生成策略模板。例如，定义一套图形语义规范——红色虚线箭头表示拒绝，绿色实线表示允许——然后开发解析器，将符合规范的图表自动转换为CiliumNetworkPolicy的 YAML 骨架，再由工程师填充细节。

工程落地的关键考量

尽管思路清晰，但在实际推广中仍需注意几个关键点：

数据安全优先

若使用公共 LLM（如 GPT-4）生成图表，切勿输入真实业务名称或内部拓扑。推荐方案是：
- 部署私有 Excalidraw 实例（通过 Docker）；
- 结合本地运行的大模型（如 Llama 3、ChatGLM3）进行内网推理；
- 对敏感字段做脱敏处理后再送入 AI。

版本控制优化

原始.json文件包含大量坐标、样式、临时状态字段，导致 Git diff 杂乱无章。可行的改进方式包括：
- 编写预处理脚本，提取核心语义部分（如元素 ID、连接关系、标签文本）单独存档；
- 使用 schema 工具校验图表结构一致性；
- 在 CI 中加入“图表完整性检查”，确保关键组件未被意外删除。

标准化与复用

为了避免“人人都是画家”带来的混乱，建议制定团队级绘图规范：
- 统一颜色含义：蓝色=前端，绿色=后端，红色=数据库；
- 固定图标风格：Pod 用矩形，Service 用圆角矩形，外部依赖用云图标；
- 创建常用模板库：如“三层架构”、“Mesh Sidecar 模式”、“零信任边界”等，一键复用。

与现有系统深度集成

Excalidraw 提供了嵌入式 SDK，可轻松集成进内部平台：

import { Excalidraw } from "@excalidraw/excalidraw"; function App() { return ( <div style={{ height: "100vh" }}> <Excalidraw /> </div> ); }

你可以将它嵌入到 CI/CD 控制台、服务目录页面或 incident 响应系统中，实现“所见即所控”。比如，在故障排查时，点击某个微服务即可弹出其相关的网络策略图，帮助快速定位隔离问题。

启动你的私有实例很简单

如果你希望在企业内网部署 Excalidraw，只需一行命令：

docker run -d \ --name excalidraw \ -p 8080:80 \ excalidraw/excalidraw:latest

之后访问http://localhost:8080即可使用。该镜像轻量、无依赖、启动迅速，非常适合放入 DMZ 区域供跨部门协作。

此外，官方还提供 Helm Chart，可用于 Kubernetes 环境下的统一纳管。

最终价值：从“配置即代码”到“意图即可视”

Cilium 让我们实现了“策略即代码”，但代码本身并不等于共识。真正决定系统安全性的，往往是那些没有写进文档的“默认理解”。

Excalidraw 的意义在于，它把模糊的“我认为应该禁止”的说法，转化成了明确的“这里有一条红叉表示拒绝”的视觉事实。它不替代 YAML，而是为其提供上下文解释；它不取代专家判断，而是让更多人能参与讨论。

未来的理想状态是：当我们提交一条新的CiliumNetworkPolicy，CI 系统不仅能 lint YAML 语法，还能自动生成对应的通信拓扑图，并与历史版本对比，高亮新增的允许路径。如果有某条规则打开了数据库直连，系统立刻标红警告。

这一天并不遥远。而 Excalidraw，正是通向那个未来的一块跳板——它提醒我们，最好的技术工具，不只是更强大，更是更可理解。