k8s-kubernetes--网络策略、flannel网络插件和calico网络插件

已于 2024-07-03 22:37:44 修改
阅读量6k 收藏 26
点赞数 6
分类专栏: k8s 文章标签: kubernetes 网络 docker
于 2023-03-12 23:29:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Gong_yz/article/details/129483025
版权

文章目录

一、k8s网络通信

抽象的接口层,将容器网络配置方案与容器平台方案解耦
CNI(Container Network Interface)就是这样的一个接口层,它定义了一套接口标准,提供了规范文档以及一些标准实现。采用CNI规范来设置容器网络的容器平台不需要关注网络的设置的细节,只需要按CNI规范来调用CNI接口即可实现网络的设置

k8s通过CNI接口接入其他插件来实现网络通讯。目前比较流行的插件有flannel,calico等。
  CNI插件存放位置:# cat  /etc/cni/net.d/10-flannel.conflist 
  
  插件使用的解决方案如下:
	虚拟网桥,虚拟网卡,多个容器共用一个虚拟网卡进行通信。
	多路复用:MacVLAN,多个容器共用一个物理网卡进行通信。
	硬件交换:SR-LOV,一个物理网卡可以虚拟出多个接口,这个性能最好。
	
  容器间通信:同一个pod内的多个容器间的通信,通过lo即可实现;
	
  pod之间的通信:
	同一节点的pod之间通过cni网桥转发数据包。(brctl show可以查看)
	不同节点的pod之间的通信需要网络插件支持。
	
  pod和service通信: 通过iptables或ipvs实现通信,ipvs取代不了iptables,因为ipvs只能做负载均衡,而做不了nat转换。
	
  pod和外网通信:iptables的MASQUERADE。
	
  Service与集群外部客户端的通信;(ingress、nodeport、loadbalancer)

1.网络策略

网络策略官网:https://kubernetes.io/zh-cn/docs/concepts/services-networking/network-policies/

前置条件
网络策略通过网络插件来实现。要使用网络策略,你必须使用支持 NetworkPolicy 的网络解决方案。 创建一个 NetworkPolicy 资源对象而没有控制器来使它生效的话,是没有任何作用的。(Flannel不支持 NetworkPolicy,所以使用Flannei网络插件是不会隔离pod的)
隔离和非隔离的 Pod
默认情况下,Pod 是非隔离的,它们接受任何来源的流量。
Pod 在被某 NetworkPolicy 选中时进入被隔离状态。 一旦名字空间中有 NetworkPolicy 选择了特定的 Pod,该 Pod 会拒绝该 NetworkPolicy 所不允许的连接。 (名字空间下其他未被 NetworkPolicy 所选择的 Pod 会继续接受所有的流量)
网络策略不会冲突,它们是累积的。 如果任何一个或多个策略选择了一个 Pod, 则该 Pod 受限于这些策略的 入站(Ingress)/出站(Egress)规则的并集。因此评估的顺序并不会影响策略的结果。
为了允许两个 Pods 之间的网络数据流,源端 Pod 上的出站(Egress)规则和 目标端 Pod 上的入站(Ingress)规则都需要允许该流量。 如果源端的出站(Egress)规则或目标端的入站(Ingress)规则拒绝该流量, 则流量将被拒绝。

2.service和iptables的关系

service 的代理是 kube-proxy
kube-proxy 运行在所有节点上,它监听 apiserver 中 service 和 endpoint 的变化情况,创建路由规则以提供服务 IP 和负载均衡功能。简单理解此进程是Service的透明代理兼负载均衡器,其核心功能是将到某个Service的访问请求转发到后端的多个Pod实例上,而kube-proxy底层又是通过iptables和ipvs实现的。
iptables原理
Kubernetes从1.2版本开始,将iptables作为kube-proxy的默认模式。iptables模式下的kube-proxy不再起到Proxy的作用,其核心功能:通过API Server的Watch接口实时跟踪Service与Endpoint的变更信息,并更新对应的iptables规则,Client的请求流量则通过iptables的NAT机制“直接路由”到目标Pod。
ipvs原理
IPVS在Kubernetes1.11中升级为GA稳定版。IPVS则专门用于高性能负载均衡,并使用更高效的数据结构(Hash表),允许几乎无限的规模扩张,因此被kube-proxy采纳为最新模式。

在IPVS模式下,使用iptables的扩展ipset,而不是直接调用iptables来生成规则链。iptables规则链是一个线性的数据结构,ipset则引入了带索引的数据结构,因此当规则很多时,也可以很高效地查找和匹配。

可以将ipset简单理解为一个IP(段)的集合,这个集合的内容可以是IP地址、IP网段、端口等,iptables可以直接添加规则对这个“可变的集合”进行操作,这样做的好处在于可以大大减少iptables规则的数量,从而减少性能损耗。
kube-proxy ipvs和iptables的异同
iptables与IPVS都是基于Netfilter实现的,但因为定位不同,二者有着本质的差别:iptables是为防火墙而设计的;IPVS则专门用于高性能负载均衡,并使用更高效的数据结构(Hash表),允许几乎无限的规模扩张。

与iptables相比,IPVS拥有以下明显优势:

  • 为大型集群提供了更好的可扩展性和性能;
  • 支持比iptables更复杂的复制均衡算法(最小负载、最少连接、加权等);
  • 支持服务器健康检查和连接重试等功能;
  • 可以动态修改ipset的集合,即使iptables的规则正在使用这个集合。
    在这里插入图片描述

二、pod间通信

1.同节点之间的通信

同一节点的pod之间通过cni网桥转发数据包。(brctl show可以查看)

2.不同节点的pod之间的通信需要网络插件支持(详解)

(1)Flannel vxlan模式跨主机通信原理

在这里插入图片描述

flannel网络

  • VXLAN,即Virtual Extensible LAN(虚拟可扩展局域网),是Linux本
最低0.47元/天 解锁文章
Gong_yz
关注
专栏目录
K8s网络插件性能比较
m0_60697583的博客
04-15 711
Weave”、"flannel"和"cilium"是三种不同的网络技术,用于容器和微服务之间的通信和网络管理。它们都有各自的特点和适用场景。
kubernetes-flannel网络插件
01-12
flannel网络插件,CNI网络插件
k8s网络一文搞懂
最新发布
n8765的专栏
09-11 1164
本文介绍了 Kubernetes 网络模型以及如何实现常见网络任务。网络知识点既广泛又很深,所以我们这里不可能涵盖所有的内容,但是你可以以本文为起点,然后去深入了解你感兴趣的主题。
k8s实践(4)--k8s集群网络详解和flannel
黄规速博客:学如逆水行舟,不进则退
06-11 5957
一、Docker网络模式 在讨论Kubernetes网络之前,让我们先来看一下Docker网络Docker采用插件化的网络模式,默认提供bridge、host、none、overlay、maclan和Network plugins这几种网络模式,运行容器时可以通过–network参数设置具体使用那一种模式。 bridge:这是Docker默认的网络驱动,此模式会为每一...
Kubernetes-网络插件
weixin_56744753的博客
11-01 1035
Flannel是一种Kubernetes网络插件,它可以为Kubernetes集群提供网络通信能力。Flannel使用虚拟网络层来创建整个集群的单一网络。在Flannel中,每个节点都有一个子网,节点之间的通信是通过路由转发完成的。Flannel可以使用不同的后端(例如UDP、VXLAN或AWS VPC)来创建虚拟网络,为Kubernetes网络提供可靠而高效的通信方式。Flannel还提供多种IP自动分配方案,从而可以简化节点配置和管理。给测试pod添加指定标签后,可以访问。flannel网络插件
k8s网络插件
古寒飞的博客
11-09 689
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
k8s网络组件选择
进行中
02-02 838
k8s组件
k8s网络插件FlannelCalico(the hard way)
企鹅菜鸟的成长过程
08-02 1422
最近在以高塔老师的the hard way进行二进制方式搭建K8S,按照第9步部署worker节点和第11步设置pod网络路由,pod与pod之间可以通信,pod和宿主机之间可以通信,pod和服务之间也可以通信。讲述了FlannelCalico的各种模式和特性......
k8s中阶_001_Pod网络_01_CNI插件_01_插件选择
wuyuezhengbian的专栏
03-28 3633
1.简介: 容器网络接口标准:Container Network Interface CNI插件:CNI接口标准的实现。常见插件有:flannelCalico、Weave Net、midonet、Contiv和公有云厂商提供的CNI插件如 Amazon VPC、Aliyun Terway kubelet:根据CNI ConfigMap参数调用CNI插件来实现Pod网络配置 以flanne...
k8s-1.16.1-搭建和操作-kubernetes安装包和详细文档笔记整理
05-27
4. 配置网络插件Kubernetes默认使用Flannel,但也可以选择Calico、Cilium等其他网络插件,以实现Pod间的通信。 5. 创建并应用配置:编写YAML文件定义服务、Deployment、Pod等,使用kubectl工具将配置应用到集群。...
k8s-1.15.1-搭建和操作-集群搭完后管理操作-kubernetes安装包和文档笔记
05-27
1. **设置环境**:在每个节点上安装并配置Docker,确保网络设置正确,例如使用CNI(Container Network Interface)插件Calico或Flannel来处理容器间的通信。 2. **下载二进制文件**:从Kubernetes官方网站获取...
kubernetes】二进制部署k8s集群之cni网络插件flannelcalico工作原理(中)
liu_xueyin的博客
02-22 2098
/在 master01 节点上操作#上传 calico.yaml 文件到 /opt/k8s 目录中,部署 CNI 网络#修改里面定义Pod网络CALICO_IPV4POOL_CIDR),与前面kube-controller-manager配置文件指定的cluster-cidr网段一样#等 Calico Pod 都 Running,节点也会准备就绪---------- node02 节点部署 ----------//在 node01 节点上操作cd /opt/
k8s】10.网络插件
种一颗树最好的时间是十年前,其次是现在!
11-20 1517
目前比较常用的CNI网络组件是flannelcalico。flannel的功能比较简单,不具备复杂的网络策略配置能力,Calico是比较出色的网络管理插件,但具备复杂网络配置能力的同时,往往意味着本身的配置比较复杂,所以相对而言,比较小而简单的集群使用flannel,考虑到日后扩容,未来网络可能需要加入更多设备,配置更多网络策略,则使用calico更好。
k8s网络插件(二十)
L李钟意的博客
04-15 1465
在【k8s】利用Kubeadm搭建多节点的Kubernetes集群(七),我们为 Kubernetes 安装了一个网络插件 Flannel。都与网络相关,但也只是浅尝辄止,并没有太多深究。Flannel 到底是如何工作的呢?它为什么能够让 Kubernetes 集群正常通信呢?还有没有其他网络插件呢?今天我们就来聊一下这个话题,讲讲 Kubernetes网络接口标准 CNI,以及 Calico、Cilium 等性能更好的网络插件。提示:以下是本篇文章正文内容,下面案例可供参考。
k8s的CNI网络插件
热门推荐
识途老码
03-14 1万+
k8s的CNI插件安装
K8S网络插件整理
lingshengxiyou的博客
04-01 253
POD的通信:1.同一Pod中容器间通信,共享同一网络命名空间,使用locahost地址+容器端口进行通信2.同一Node中Pod间通信,让veth对的一端链接到root网络命名空间(宿主机的),另一端链接到Pod的网络命名空间,使用同一docker0网桥,使用docker0分配的ip+端口进行通信3.不同Node中 Pod间通信,使用第三方插件如FlannelCalico进行通信。docker0/cni是虚拟网桥,作用于同一物理子网中,查询通过转发表(mac表)mac地址进行通信,是二层网络设备,如二层
k8s网络插件-calico
jingzhiz 专属移动笔记
07-19 864
calico的核心组件 (1)Felix:Calico的客户端,跑在每台node节点上,主要负责配置路由及ACLs等信息来确保各pod之间的连通状态 (2)etcd:分布式键值存储,主要负责网络元数据一致性,确保Calico网络状态的准确性; (3)BGPClient:主要负责把Felix写入kernel的路由信息分发到当前Calico网络,确保节点间通信的有效性; (4)BGPRoute Re...
k8s的组件
weixin_30887919的博客
06-29 171
1、Master组件 1、API Server K8S对外的唯一接口,提供HTTP/HTTPS RESTful API,即kubernetes API。所有的请求都需要经过这个接口进行通信。主要负责接收、校验并响应所有的REST请求,结果状态被持久存储在etcd当中,所有资源增删改查的唯一入口。 2、etcd 负责保存k8s 集群的配置信息和各种资源的状态信息,当数据发生变化时,et...
k8s部署calico网络
05-28
要在 Kubernetes 集群上部署 Calico 网络,可以按照以下步骤进行操作: 1. 在 Kubernetes 集群上安装 Calico CNI 插件。可以使用以下命令: ``` kubectl apply -f https://docs.projectcalico.org/v3.20/manifests/calico.yaml ``` 2. 等待 Calico 插件部署完成。可以使用以下命令检查 Calico 插件的状态: ``` kubectl get pods -n kube-system -l k8s-app=calico-node ``` 如果所有的 Calico 节点都处于 `Running` 状态,那么插件已经成功部署。 3. 配置 Calico 网络策略。可以使用以下命令启用 Calico 网络策略: ``` kubectl apply -f https://docs.projectcalico.org/v3.20/manifests/calico-network-policy.yaml ``` 等待 Calico 网络策略部署完成。 4. 部署测试 Pod 进行测试。可以使用以下 YAML 文件创建一个测试 Pod: ``` apiVersion: v1 kind: Pod metadata: name: test-pod spec: containers: - name: test-container image: nginx ports: - containerPort: 80 ``` 使用以下命令创建测试 Pod: ``` kubectl apply -f test-pod.yaml ``` 等待测试 Pod 运行并验证是否可以访问它。 这样就完成了在 Kubernetes 集群上部署 Calico 网络的过程。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值