Kubernetes网络CNI插件:Flannel与Calico详解

头像
逼格高的汤圆
     北京
    阅读 3 分钟

    Kubernetes 网络模型基于插件架构设计,容器网络接口(CNI)插件负责具体的网络通信。

    Kubernetes 网络概述

    1. 网络职责划分

      • Kubernetes 本身不负责网络通信:Kubernetes 提供了容器网络接口 CNI(Container Network Interface),具体的网络通信交给 CNI 插件来负责。
      • CNI 插件:开源的 CNI 插件有很多种,如 Flannel、Calico 等。不同的插件实现不同的网络功能和特性。
      • VPC 网络支持:CCE(云容器引擎)专门为 Kubernetes 定制了 CNI 插件(如 Canal 和 Yangste),使得 Kubernetes 可以使用 VPC 网络。

    2. 网络连接机制

      • Pod 互相通信:Kubernetes 集群中的 Pod 能够互相通信,且必须通过非 NAT 网络连接。即收到的数据包的源 IP 是发送数据包的 Pod 的 IP。
      • Pod 与节点之间通信:Pod 与节点之间的通信也是通过非 NAT 网络。但在 Pod 访问集群外部时,源 IP 会被修改成节点的 IP。

    使用 Flannel 进行 Kubernetes 网络配置

    1. 安装 Flannel
      在 Kubernetes 集群中安装 Flannel 作为 CNI 插件。可以使用以下命令来安装 Flannel:

      kubectl apply -f https://raw.githubusercontent.com/coreos/flannel/master/Documentation/kube-flannel.yml

    2. Flannel 配置示例
      Flannel 的配置文件内容如下:

      apiVersion: policy/v1beta1
kind: PodSecurityPolicy
metadata:
  name: psp.flannel.unprivileged
spec:
  privileged: false
  volumes:
    - configMap
    - secret
    - emptyDir
    - hostPath
  allowedHostPaths:
    - pathPrefix: "/etc/cni/net.d"
    - pathPrefix: "/etc/kube-flannel/"
    - pathPrefix: "/run/flannel/"
  hostNetwork: true
  hostPorts:
    - min: 0
      max: 65535
  hostPID: false
  hostIPC: false
  seLinux:
    rule: RunAsAny
  supplementalGroups:
    rule: RunAsAny
  runAsUser:
    rule: RunAsAny
  fsGroup:
    rule: RunAsAny
  readOnlyRootFilesystem: false

    3. 验证网络配置
      验证网络配置是否生效。创建两个 Pod 并验证它们之间的网络连通性:

      kubectl run --rm -it --image=busybox pod1 -- /bin/sh
# 在 Pod1 中执行
wget -qO- http://pod2-ip-address

    4. 节点之间的通信
      Flannel 默认使用 VXLAN 来在不同节点之间创建一个覆盖网络,使得不同节点上的 Pod 能够互相通信。可以通过以下命令查看 Flannel 配置的网络接口:

      ip a | grep flannel

    使用 Calico 进行 Kubernetes 网络配置

    1. 安装 Calico
      选择 Calico 作为 CNI 插件。可以使用以下命令来安装 Calico:

      kubectl apply -f https://docs.projectcalico.org/v3.14/manifests/calico.yaml

    2. Calico 配置示例
      Calico 的配置文件内容如下:

      apiVersion: v1
kind: ConfigMap
metadata:
  name: calico-config
  namespace: kube-system
data:
  # 设置 Calico 的后端类型为 vxlan
  calico_backend: "vxlan"
  # 设置 BGP 的启用
  enable_bgp: "true"

    3. 验证网络配置
      验证 Calico 配置的网络连通性:

      kubectl run --rm -it --image=busybox pod1 -- /bin/sh
# 在 Pod1 中执行
wget -qO- http://pod2-ip-address

    4. Calico 的特性
      Calico 除了提供基本的网络功能外,还提供了更高级的网络策略管理功能,可以通过定义 NetworkPolicy 来控制 Pod 之间的通信。例如:

      apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-all
  namespace: default
spec:
  podSelector: {}
  policyTypes:
    - Ingress
    - Egress
  ingress:
    - {}
  egress:
    - {}

    Kubernetes 的网络模型依赖于 CNI 插件来实现具体的网络通信功能。不同的 CNI 插件(如 Flannel 和 Calico)提供了不同的功能和特性,用户可以根据需求选择合适的插件进行部署和配置。通过正确配置 CNI 插件,可以确保 Kubernetes 集群中的 Pod 和节点之间实现高效、可靠的网络通信。

    本文由mdnice多平台发布

    极客观点程序员
    逼格高的汤圆
    7 声望2 粉丝
    « 上一篇
    6个巧妙的方法用子查询简化你的SQL查询
    下一篇 »
    Kubernetes中Pod间通信的详细解析

    引用和评论

    推荐阅读
    头像
    从零开始掌握 Kubernetes Namespace:高效管理集群资源

    逼格高的汤圆阅读 406

    头像
    程序员接单社群运营一月总结

    九旬2阅读 4.4k

    头像
    失业,仲裁,都赶上了(一)

    limingcan3阅读 739评论 2

    头像
    Chatbot 不是“万金油”:企业级生成式 AI 如何真正创造价值

    Baihai_IDP1阅读 620

    头像
    CCF程序员大会|大理篝火之夜,解锁技术“燃”点

    思否编辑部1阅读 1.3k

    头像
    JS---用js敲代码,到底加不加分号

    BigDipper阅读 3.7k

    头像
    到底选谁?五大多智能体 ( Multi-AI Agent) 框架对比

    Baihai_IDP阅读 3.1k

    0 条评论
    得票最新