虚拟网络之Kubernetes Cilium CNI 网络通信调测

最新推荐文章于 2024-02-08 09:42:52 发布
最新推荐文章于 2024-02-08 09:42:52 发布
阅读量1.4k 收藏 1
点赞数 1
分类专栏: Kubernetes Virtual Network 云计算 文章标签: SDN kubernetes Cilium
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LL845876425/article/details/111464297
版权

文章目录

虚拟网络之Kubernetes Cilium CNI 网络通信调测

前言

Cilium CNI 是基于Linux 新版本内核中的eBPF实现的,对应数据面转发逻辑和Flannel CNI 比较有了不小的变化,从实现机制上来说,性能上是有很大的提升的;本篇就是将我在环境上实操验证进行一个简单的记录;关于Cilium CNI 安装,可以参考官网,也可以查看我之前的博客;
https://docs.cilium.io/en/v1.9/gettingstarted/k8s-install-default/
https://blog.csdn.net/LL845876425/article/details/110410377

Cilium CNI 配置查看

查看Cilium CNI 相关网络配置;

cat /etc/cni/net.d/05-cilium.conf
kubectl get pods -n kube-system -o wide
kubectl get cm -n kube-system -o wide
kubectl get cm cilium-config -n kube-system -o yaml

[root@master ~]# cat /etc/cni/net.d/05-cilium.conf
{
  "cniVersion": "0.3.1",
  "name": "cilium",
  "type": "cilium-cni",
  "enable-debug": false
}
[root@master ~]#


同Node pod 通信:

同节点内部的容器之间的连通性依赖内核协议栈二层转发和BPF程序,不会经过像OVS或Linux bridge这样的二层设备。这部分功能由Cilium Agent负责,使用BPF规则进行流量的管控。简单示意图如下:

官方示意图如下:
可以看到,同节点的容器之间通信直接走BPF规则即可;不同节点的容器的通信需要通过各个节点上的cilium_host接口进行转发;
在这里插入图片描述

容器和所在节点的通信走节点内部的三层路由和BPF转发,BPF程序连接容器的veth pair和它的网关设备。

如下路由中,将cilium_host作为容器的默认网关。容器和容器所在的节点的通信需要经过cilium_host接口

client pod centos-test-764675d946-c2scc 10.0.1.174 master
server pod nginx-nets-c6744f88d-p8kr4 10.0.1.179 master


可以看到没有对应的2层bridge:

client pod 看到 if12,对应node 节点上序号12 的设备,查看node节点网卡配置,即是:

# 
12: lxc175346e62e21@if11: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether 2a:b8:ff:5a:83:b5 brd ff:ff:ff:ff:ff:ff link-netnsid 2

指定该设备口抓包,即可抓到从 pod 出的包;

该设备对应设备类型为 veth

[root@centos-test-764675d946-c2scc /]# curl -I 10.0.1.179
HTTP/1.1 200 OK
Server: nginx/1.19.3
Date: Mon, 30 Nov 2020 08:30:11 GMT
Content-Type: text/html
Content-Length: 612
Last-Modified: Tue, 29 Sep 2020 14:12:31 GMT
Connection: keep-alive
ETag: "5f7340cf-264"
Accept-Ranges: bytes

[root@centos-test-764675d946-c2scc /]# ip a s
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
11: eth0@if12: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default
    link/ether 4a:a1:12:a5:22:51 brd ff:ff:ff:ff:ff:ff link-netnsid 0
    inet 10.0.1.174/32 scope global eth0
       valid_lft forever preferred_lft forever
[root@centos-test-764675d946-c2scc /]# ip route show
default via 10.0.1.205 dev eth0 mtu 1450
10.0.1.205 dev eth0 scope link
[root@centos-test-764675d946-c2scc /]#


节点和pod上 ip route 记录:

# pod 
[root@centos-test-764675d946-c2scc /]# ip route show
default via 10.0.1.205 dev eth0 mtu 1450
10.0.1.205 dev eth0 scope link
[root@centos-test-764675d946-c2scc /]#


# node节点:
[root@master ~]# ip route show
default via 172.16.0.1 dev eth0
10.0.0.0/24 via 10.0.1.205 dev cilium_host src 10.0.1.205 mtu 1450
10.0.1.0/24 via 10.0.1.205 dev cilium_host src 10.0.1.205 mtu 1450
10.0.1.205 dev cilium_host scope link
169.254.0.0/16 dev eth0 scope link metric 1002
172.16.0.0/20 dev eth0 proto kernel scope link src 172.16.0.5
172.17.0.0/16 dev docker0 proto kernel scope link src 172.17.0.1 linkdown
[root@master ~]#


另外还可以看到 Cilium 还是会有一些iptables 规则下发

跨node pod 访问:

下面是使用Host L3进行跨节点通信的流程图

下面是使用vxlan进行跨节点通信的流程图

Cilium cli

使用Cilium后,不会再使用kube-proxy,它会从Kubernetes API服务器获得Service信息,并存入BPF。可以使用cilium命令行查看相关的信息。
如使用# cilium node list查看当前的node节点信息,使用# cilium service list查看service信息等。对于策略的获取,可以通过命令行# cilium policy get,也可以通过Hubble UI查看,如下:

参考:

海渊_haiyuan
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CNI 网络流量 5.1 Cilium 介绍和原理
mr1jie的博客
02-27 1178
cilium 介绍使用
体验新时代的CNI--cilium
qq_40406649的博客
01-21 1161
本文将介绍笔者体验cilium的过程Cilium 的基础是一种新的 Linux 内核技术,称为 eBPF,它支持将强大的安全性、可见性和网络控制逻辑动态插入到 Linux 内核中。eBPF 用于提供高性能网络、多集群和多云能力、高级负载均衡、透明加密、广泛的网络安全功能、透明的可观测性等等。
K8S Cilium网络插件——安装
Blue summer的博客
01-21 2474
K8S Cilium网络插件——安装
虚拟网络Kubernetes Cilium CNI 快速部署实操
海渊_haiyuan的博客
11-30 2238
文章目录虚拟网络Kubernetes Cilium CNI 快速部署实操前言卸载Flannel CNIInstall Cilium CNI 虚拟网络Kubernetes Cilium CNI 快速部署实操 前言 在之前部署的kubernetes 集群,这里想把已部署的Flannel CNI 更换为 Cilium CNI,本篇记录下实操记录; 之前部署的记录见博客《记一次实操部署Kubernetes_v1.19.2》 卸载Flannel CNI # 一般生产环境是不会这样操作的,因为一旦把 cni 卸载后
Cilium CNI深度指南
最新发布
残星说梦话
02-08 1720
你好,我是俞凡,在Motorola做过研发,现在在Mavenir做技术工作,对通信、网络、后端架构、云原生、DevOps、CICD、区块链、AI等技术始终保持着浓厚的兴趣,平时喜欢阅读、思考,相信持续学习、终身成长,欢迎一起交流学习。然而,这样的限制增加了复杂性和处理成本。我们的长期目标包括为pod提供一种机制来选择对等身份验证,支持可插拔的证书管理系统(如SPIFFE、Vault、SMI、Istio、cert-manager等),提供可配置的证书粒度,以及利用现有的对数据平面的加密协议支持。
kubernetes 使用cilium 网络插件 替换kube-proxy
02-10
总的来说,Cilium作为kube-proxy的替代品,通过利用eBPF技术,为Kubernetes集群提供了更高性能、更安全、更可观察的网络解决方案,满足了云原生环境下的网络需求。它的使用不仅提升了整体系统的效率,也为微服务架构...
kubernetes-flannel网络插件
01-12
Flannel 是一个轻量级的网络解决方案,它为 Kubernetes 提供了跨主机的网络通信能力,使得集群内的Pods(应用容器)可以相互通信,而无需关心它们所在的节点。Flannel 是 CNI (Container Network Interface) 插件的...
云计算+kubernetes+网络插件yaml文件+dashboard-yaml文件
10-17
常见的网络插件有Calico、Flannel、Cilium等,它们负责实现这个网络模型,确保跨节点的Pod通信畅通无阻。 yaml文件是Kubernetes的配置语言,用于定义资源对象,如Pod、Service、Deployment等。在这个压缩包中提到的...
Cilium网络加速秘诀.7z
06-20
Cilium作为一个开源项目,以其独特的网络和安全解决方案在容器编排领域脱颖而出,尤其在 Kubernetes 环境下,Cilium网络加速能力备受瞩目。本文将深入探讨Cilium如何实现网络加速,以及它背后的原理和技术。 ...
Cilium网络加速秘诀1
08-03
Cilium是一种用于Kubernetes的容器网络接口(CNI)解决方案,它利用了先进的eBPF技术,显著提升了网络性能,包括降低延迟、提高吞吐量以及减少CPU开销。Cilium的核心在于将eBPF程序与Kubernetes网络策略相结合,...
基于eBPF的k8s网络插件Cilium部署与流量治理浅尝
11-13 1737
1环境准备基于 ebpf的kubernetesCNI 插件 cilium 最近的关注度也越来越高,并且有配套的可观测平台hubble,为流量治理、可视化追踪有很大帮助,本文先将k8s的网络插件改为 cilium 并将 hubble 进行部署使用,具体原理请期待下篇。Cilium 要求 Linux kernel 版本在 4.8.0 以上,Cilium 官方建议 kernel 版本至少在 ...
Cilium 相关命令解读
喝醉酒的小白
04-25 1340
Cilium运行状态信息:debuginfo中包含了Cilium的运行状态信息,包括Cilium代理的运行状态、网络策略的应用情况、集群中的流量情况等。Cilium日志信息:debuginfo中包含了Cilium的日志信息,包括Cilium代理的日志、控制器的日志等。这些信息可以帮助管理员确定Cilium的版本和构建信息,以便更好地进行调试和故障排除。cilium_api_server_request_duration_seconds:这个指标记录了Cilium API服务器处理请求的时间。
Cilium 系列-2-Cilium 快速安装
east4ming的博客
07-22 471
在本章中,我们将直接将 Cilium 安装到 Kubernetes 集群中。OS📝Notes如前文所述,Cilium 对 Linux Kernel 版本要求很高。1.13.4 推荐 Kernel ≥ 5.10(使用最新 LTS 稳定版 Kernel), 最低 Linux Kernel 得是 4.19.57.所以我们选择 2 个 OS, 一个只满足最低 Kernel 要求,一个是尽可能新的 Kernel, 看看安装和功能有哪些差别。本文我们主要介绍了 Cilium 的快速安装过程。
最强 CNI 基准测试:Cilium 网络性能分析
云原生实验室
05-23 682
作者:Thomas Graf译者:罗煜、张亮,均来自 KubeSphere 团队Thomas Graf 是 Cilium 的联合创始人,同时也是 Cilium 母公司 Isovalent[...
【理解 Cilium 系列文章】(一) 初识 Cilium
云原生Serverless的专栏
08-28 3573
Knative 定期发布 Knative 最新资讯,汇集 云原生 & Serverless 技术最全内容,用户最佳落地实践。关注 Knative 趋势,更关注你落地实践中的遇到的困惑和问题。 ...
K8s 最强 CNI Cilium 网络故障排查指南
云原生实验室
12-16 904
❝本文转自掘金,原文:https://juejin.cn/post/7176184210284085285,版权归原作者所有。欢迎投稿,投稿请添加微信好友:cloud-native-yang我是 LEE,老李,一个在 IT 行业摸爬滚打 16 年的技术老兵。事件背景最近不少 k8s 底层网络模块都从 kubenet 升级到了 ciliumcilium 还是相对比较易用的,就是运维、监控和报警方...
使用 Cilium 增强 Kubernetes 网络安全
hanfengzxh的博客
02-13 3712
TL;DR 在本篇,我们分别使用了 Kubernetes 原生的网络策略和 Cilium网络策略实现了 Pod 网络层面的隔离。不同的是,前者只提供了基于 L3/4 的网络策略;后者支持 L3/4、L7 的网络策略。 通过网络策略来提升网络安全,可以极大降低了实现和维护的成本,同时对系统几乎没有影响。 尤其是基于 eBPF 技术的 Cilium,解决了内核扩展性不足的问题,从内核层面为工作负载提供安全可靠、可观测的网络连接。 背景 为什么说 Kubernetes 网络存在安全隐患?集群中的 Pod 默.
最 Cool Kubernetes 网络方案 Cilium 入门教程
云原生实验室
04-21 2481
原文链接:https://davidlovezoe.club/wordpress/archives/851前言最近业界使用范围最广的 K8S CNI 网络方案 Calico 宣布支持 e...
Cilium 容器网络的落地实践
Tommy Xiao
10-28 562
随着越来越多的企业采用 Kubernetes,围绕多云、安全、可见性和可扩展性等新要求,可编程数据平面的需求用例范围越来越广。此外,服务网格和无服务器等新技术对 Kubernetes 底层提出了更多的定制化要求。这些新需求都有一些共同点:它们需要一个更可编程的数据平面,能够在不牺牲性能的情况下执行 Kubernetes 感知的网络数据操作。 Cilium 项目通过引入扩展的伯克利数据包过滤器(eB...
kubernetes网络模型
08-10
### 回答1: Kubernetes网络模型是一种用于在集群中连接和管理容器的方法。Kubernetes提供了一组核心网络概念,例如Pod,Service和Ingress,来帮助管理网络流量和容器间通信。 Pod是Kubernetes中最小的可管理单位,通常由一个或多个容器组成。Pods共享同一网络空间,并且可以在同一个Node上的不同的Pods之间直接通信。 Service是Kubernetes中的逻辑抽象,用于代表一组相关的Pods。Services通过定义一个统一的IP地址和端口,提供了一种简单的方法来访问Pod的群集。 Ingress是一种在Kubernetes集群外部访问应用程序的方法。Ingress定义了应用程序的URL路径和请求路由方式,并且允许将外部请求路由到集群内的合适的Service或Pod。 Kubernetes还支持使用多种网络插件,如Calico,Flannel,Cilium等来实现它的网络模型。这些插件可以定义如何在集群中配置网络,以及如何管理网络流量。 总的来说,Kubernetes网络模型为在集群中的容器间提供了一种简单,高效和可扩展的方法来进行通信。 ### 回答2: Kubernetes网络模型包括主机网络、Pod网络和服务网络三个方面。 首先,主机网络是指每个Kubernetes节点所连接的物理网络。每个节点上会有一个或多个网络接口,用于与其他节点通信,以及与外部网络进行数据交换。这些接口通常是以太网、无线网络虚拟网桥等。 其次,Pod网络是指在同一个Kubernetes节点上运行的一组容器共享的虚拟网络。在每一个节点上,Kubernetes会创建一个称为容器网络接口(CNI)的软件插件,该插件负责为Pod分配唯一的IP地址、创建虚拟网络和实现跨节点的通信。Pod可以通过直接使用IP地址进行通信,而无需进行任何网络地址转换。 最后,服务网络是一种抽象层,用于为Kubernetes集群中的应用程序提供网络服务的发现和负载均衡功能。Kubernetes中的服务是一组Pod的逻辑分组,并为这些Pod提供一个唯一的DNS名称和虚拟IP地址。当应用程序需要访问服务时,它们可以通过使用该名称和IP地址来进行通信,而无需关心具体的后端Pod在哪个节点上运行。 总的来说,Kubernetes网络模型通过将主机网络、Pod网络和服务网络紧密结合在一起,为容器化应用程序提供了高度灵活、高度可扩展和高度可靠的网络通信方式。它可以让应用程序之间无缝通信,并实现高效的负载均衡和服务发现。 ### 回答3: Kubernetes网络模型是指它提供的网络服务和架构。Kubernetes使用的网络模型主要包括了两个重要概念:Pod和Service。 首先,Pod是Kubernetes中最基本的运行单元,它由一个或多个紧密关联的容器组成,这些容器共享相同的IP地址和网络命名空间。每个Pod都有独立的IP地址,并且可以在集群中的任意节点上运行。Pod内的容器可以通过localhost进行通信,可以实现容器之间的高效通信。 其次,Kubernetes提供了Service来实现对外部网络的访问。Service是一组Pod的逻辑分组,它们可以被集群内外的其他服务访问。Service会为这些Pod分配一个虚拟IP地址,这个虚拟IP地址可以用作其他服务或终端用户与Pod进行通信的入口点。在这个过程中,Service会根据一定的负载均衡算法将请求路由到相应的Pod上。 Kubernetes网络模型还采用了一种称为CNI(Container Network Interface)的标准,它定义了容器和主机之间的网络接口和驱动。Kubernetes集群中的每个节点都有一个CNI插件来管理网络,这些插件可以实现不同的网络方案,如自定义网络、软件定义网络等。CNI插件可以与底层网络设备进行通信,以确保Pod和Service之间的网络正常工作。 总结来说,Kubernetes网络模型通过使用Pod和Service等概念,以及CNI插件来实现容器之间和容器与外部网络之间的通信。这个模型能够提供灵活、可扩展和高性能的网络服务,为Kubernetes集群中的应用程序提供可靠的网络支持。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值