k8s使用calico网络模式，如何处理容器云中业务容器需要跨网络区域开通防火墙策略的问题？

在一些金融行业中，根据监管的要求，各个网络区域之间有防火墙隔离，如果有跨网络区域访问需求，按照传统的虚拟机环境，则需要提供源地址，目的地址和端口开通网络策略才行。
但是在calico中，业务容器的IP本身默认不固定，这样就无法开通网络策略，目前能想到的解决方案是将需要开通防火墙策略的容器声明annotations，配置cni.projectcalico.org/ipAddrs 来固定容器的IP，然后再根据这个固定IP去开通网络策略，但是如果容器IP固定了，则k8s集群的一些特性就不能很好的支持，比如弹性扩缩等。另外随着集群越做越大，固定IP的容器也是越来越多，对于固定IP的管理维护也是一个问题。
想问一下针对这样的情况，有没有一个比较好的解决方案或者解决管理思路？