虚拟网络之Kubernetes Cilium CNI 网络通信调测

最新推荐文章于 2024-02-08 09:42:52 发布
最新推荐文章于 2024-02-08 09:42:52 发布
阅读量1.4k 收藏 1
点赞数 1
分类专栏: Kubernetes Virtual Network 云计算 文章标签: SDN kubernetes Cilium
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LL845876425/article/details/111464297
版权

文章目录

虚拟网络之Kubernetes Cilium CNI 网络通信调测

前言

Cilium CNI 是基于Linux 新版本内核中的eBPF实现的,对应数据面转发逻辑和Flannel CNI 比较有了不小的变化,从实现机制上来说,性能上是有很大的提升的;本篇就是将我在环境上实操验证进行一个简单的记录;关于Cilium CNI 安装,可以参考官网,也可以查看我之前的博客;
https://docs.cilium.io/en/v1.9/gettingstarted/k8s-install-default/
https://blog.csdn.net/LL845876425/article/details/110410377

Cilium CNI 配置查看

查看Cilium CNI 相关网络配置;

cat /etc/cni/net.d/05-cilium.conf
kubectl get pods -n kube-system -o wide
kubectl get cm -n kube-system -o wide
kubectl get cm cilium-config -n kube-system -o yaml

[root@master ~]# cat /etc/cni/net.d/05-cilium.conf
{
  "cniVersion": "0.3.1",
  "name": "cilium",
  "type": "cilium-cni",
  "enable-debug": false
}
[root@master ~]#


同Node pod 通信:

同节点内部的容器之间的连通性依赖内核协议栈二层转发和BPF程序,不会经过像OVS或Linux bridge这样的二层设备。这部分功能由Cilium Agent负责,使用BPF规则进行流量的管控。简单示意图如下:

官方示意图如下:
可以看到,同节点的容器之间通信直接走BPF规则即可;不同节点的容器的通信需要通过各个节点上的cilium_host接口进行转发;
在这里插入图片描述

容器和所在节点的通信走节点内部的三层路由和BPF转发,BPF程序连接容器的veth pair和它的网关设备。

如下路由中,将cilium_host作为容器的默认网关。容器和容器所在的节点的通信需要经过cilium_host接口

client pod centos-test-764675d946-c2scc 10.0.1.174 master
server pod nginx-nets-c6744f88d-p8kr4 10.0.1.179 master


可以看到没有对应的2层bridge:

client pod 看到 if12,对应node 节点上序号12 的设备,查看node节点网卡配置,即是:

# 
12: lxc175346e62e21@if11: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether 2a:b8:ff:5a:83:b5 brd ff:ff:ff:ff:ff:ff link-netnsid 2

指定该设备口抓包,即可抓到从 pod 出的包;

该设备对应设备类型为 veth

[root@centos-test-764675d946-c2scc /]# curl -I 10.0.1.179
HTTP/1.1 200 OK
Server: nginx/1.19.3
Date: Mon, 30 Nov 2020 08:30:11 GMT
Content-Type: text/html
Content-Length: 612
Last-Modified: Tue, 29 Sep 2020 14:12:31 GMT
Connection: keep-alive
ETag: "5f7340cf-264"
Accept-Ranges: bytes

[root@centos-test-764675d946-c2scc /]# ip a s
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
11: eth0@if12: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default
    link/ether 4a:a1:12:a5:22:51 brd ff:ff:ff:ff:ff:ff link-netnsid 0
    inet 10.0.1.174/32 scope global eth0
       valid_lft forever preferred_lft forever
[root@centos-test-764675d946-c2scc /]# ip route show
default via 10.0.1.205 dev eth0 mtu 1450
10.0.1.205 dev eth0 scope link
[root@centos-test-764675d946-c2scc /]#


节点和pod上 ip route 记录:

# pod 
[root@centos-test-764675d946-c2scc /]# ip route show
default via 10.0.1.205 dev eth0 mtu 1450
10.0.1.205 dev eth0 scope link
[root@centos-test-764675d946-c2scc /]#


# node节点:
[root@master ~]# ip route show
default via 172.16.0.1 dev eth0
10.0.0.0/24 via 10.0.1.205 dev cilium_host src 10.0.1.205 mtu 1450
10.0.1.0/24 via 10.0.1.205 dev cilium_host src 10.0.1.205 mtu 1450
10.0.1.205 dev cilium_host scope link
169.254.0.0/16 dev eth0 scope link metric 1002
172.16.0.0/20 dev eth0 proto kernel scope link src 172.16.0.5
172.17.0.0/16 dev docker0 proto kernel scope link src 172.17.0.1 linkdown
[root@master ~]#


另外还可以看到 Cilium 还是会有一些iptables 规则下发

跨node pod 访问:

下面是使用Host L3进行跨节点通信的流程图

下面是使用vxlan进行跨节点通信的流程图

Cilium cli

使用Cilium后,不会再使用kube-proxy,它会从Kubernetes API服务器获得Service信息,并存入BPF。可以使用cilium命令行查看相关的信息。
如使用# cilium node list查看当前的node节点信息,使用# cilium service list查看service信息等。对于策略的获取,可以通过命令行# cilium policy get,也可以通过Hubble UI查看,如下:

参考:

海渊_haiyuan
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
最强 CNI 基准测试:Cilium 网络性能分析
云原生实验室
05-23 684
作者:Thomas Graf译者:罗煜、张亮,均来自 KubeSphere 团队Thomas Graf 是 Cilium 的联合创始人,同时也是 Cilium 母公司 Isovalent[...
虚拟网络Kubernetes Cilium CNI 快速部署实操
海渊_haiyuan的博客
11-30 2243
文章目录虚拟网络Kubernetes Cilium CNI 快速部署实操前言卸载Flannel CNIInstall Cilium CNI 虚拟网络Kubernetes Cilium CNI 快速部署实操 前言 在之前部署的kubernetes 集群,这里想把已部署的Flannel CNI 更换为 Cilium CNI,本篇记录下实操记录; 之前部署的记录见博客《记一次实操部署Kubernetes_v1.19.2》 卸载Flannel CNI # 一般生产环境是不会这样操作的,因为一旦把 cni 卸载后
Cilium CNI深度指南
最新发布
残星说梦话
02-08 1741
你好,我是俞凡,在Motorola做过研发,现在在Mavenir做技术工作,对通信、网络、后端架构、云原生、DevOps、CICD、区块链、AI等技术始终保持着浓厚的兴趣,平时喜欢阅读、思考,相信持续学习、终身成长,欢迎一起交流学习。然而,这样的限制增加了复杂性和处理成本。我们的长期目标包括为pod提供一种机制来选择对等身份验证,支持可插拔的证书管理系统(如SPIFFE、Vault、SMI、Istio、cert-manager等),提供可配置的证书粒度,以及利用现有的对数据平面的加密协议支持。
CNI 网络流量 5.1 Cilium 介绍和原理
mr1jie的博客
02-27 1204
cilium 介绍使用
cilium系列之三:NodeLocal DNSCache在cilium中的实现
李炜伦的博客
12-27 1380
kubernetes官网关于nodelocal dns缓存的介绍 引言 NodeLocal DNSCache 通过在集群节点上作为 DaemonSet 运行 dns 缓存代理来提高集群 DNS 性能。 在当今的体系结构中,处于 ClusterFirst DNS 模式的 Pod 可以连接到 kube-dns serviceIP 进行 DNS 查询。 通过 kube-proxy 添加的 iptables 规则将其转换为 kube-dns/CoreDNS 端点。 借助这种新架构,Pods 将可以访问在同一节点上运
kubernetes 使用cilium 网络插件 替换kube-proxy
02-10
总的来说,Cilium作为kube-proxy的替代品,通过利用eBPF技术,为Kubernetes集群提供了更高性能、更安全、更可观察的网络解决方案,满足了云原生环境下的网络需求。它的使用不仅提升了整体系统的效率,也为微服务架构...
kubernetes-flannel网络插件
01-12
Flannel 是一个轻量级的网络解决方案,它为 Kubernetes 提供了跨主机的网络通信能力,使得集群内的Pods(应用容器)可以相互通信,而无需关心它们所在的节点。Flannel 是 CNI (Container Network Interface) 插件的...
云计算+kubernetes+网络插件yaml文件+dashboard-yaml文件
10-17
常见的网络插件有Calico、Flannel、Cilium等,它们负责实现这个网络模型,确保跨节点的Pod通信畅通无阻。 yaml文件是Kubernetes的配置语言,用于定义资源对象,如Pod、Service、Deployment等。在这个压缩包中提到的...
Cilium网络加速秘诀.7z
06-20
Cilium作为一个开源项目,以其独特的网络和安全解决方案在容器编排领域脱颖而出,尤其在 Kubernetes 环境下,Cilium网络加速能力备受瞩目。本文将深入探讨Cilium如何实现网络加速,以及它背后的原理和技术。 ...
Cilium网络加速秘诀1
08-03
Cilium是一种用于Kubernetes的容器网络接口(CNI)解决方案,它利用了先进的eBPF技术,显著提升了网络性能,包括降低延迟、提高吞吐量以及减少CPU开销。Cilium的核心在于将eBPF程序与Kubernetes网络策略相结合,...
cilium-testings:使用Cilium进行调查和测试
04-01
纤毛测试 目标 该项目旨在研究Cilium的工作方式,以及如何将其与Junos cRPD集成。 测试基础架构 测试基础结构是具有2 * 10 CPU / 256G内存的基本服务器,在该服务器上部署了一组虚拟机。 使用ubuntu Focus进行基本节点配置 root@5b11s15:~# cat /etc/os-release NAME="Ubuntu" VERSION="20.04.1 LTS (Focal Fossa)" ID=ubuntu 通过快照安装多通道虚拟机实例化 apt install snapd -y snap install multipass 启动3个Ubuntu VM multipass launch -n ubuntu1 --cpus 6 --mem 8G --disk 30G multipass launch -n ubuntu2 --cpus 6 --me
k8s系列04-kubeadm部署cilium网络的k8s集群
tinychen
05-24 1683
本文主要在centos7系统上基于docker和cilium组件部署v1.23.6版本的k8s原生集群,由于集群主要用于自己平时学习和测试使用,加上资源有限,暂不涉及高可用部署。 此前写的一些关于k8s基础知识和集群搭建的一些方案,有需要的同学可以看一下。 1、准备工作 1.1 cilium-集群节点信息 机器均为8C8G的虚拟机,硬盘为100G。 IP Hostname 10.31.188.1 tiny-cilium-master-188-1.k8s.tcinternal 10.31.
【理解 Cilium 系列文章】(一) 初识 Cilium
云原生Serverless的专栏
08-28 3608
Knative 定期发布 Knative 最新资讯,汇集 云原生 & Serverless 技术最全内容,用户最佳落地实践。关注 Knative 趋势,更关注你落地实践中的遇到的困惑和问题。 ...
cilium系列之一:安装并配置cilium
李炜伦的博客
09-16 9774
cilium可以在内核转发和过滤数据包,可以解决现有的kube-proxy性能问题,这是有关介绍链接http://dockone.io/m/article/10046 现在主要的问题不仅在于网络是underlay还是overlay,也在于networkpolicy。
Cilium & Hubble
喝醉酒的小白
07-17 1607
Cilium在第3/4层运行,以提供传统的网络和安全服务,还在第7层运行,以保护现代应用协议(如HTTP,gRPC和Kafka)的使用。Hubble是建立在Cilium和eBPF之上,以一种完全透明的方式,提供网络基础设施通信以及应用行为的深度可视化,是一个应用于云原生工作负载,完全分布式的网络和安全可观察性平台。Cilium是一个用于容器网络领域的开源项目,主要是面向容器而使用,用于提供并透明地保护应用程序工作负载(如应用程序容器或进程)之间的网络连接和负载均衡。.........
体验新时代的CNI--cilium
qq_40406649的博客
01-21 1165
本文将介绍笔者体验cilium的过程Cilium 的基础是一种新的 Linux 内核技术,称为 eBPF,它支持将强大的安全性、可见性和网络控制逻辑动态插入到 Linux 内核中。eBPF 用于提供高性能网络、多集群和多云能力、高级负载均衡、透明加密、广泛的网络安全功能、透明的可观测性等等。
Cilium——具备API感知的网络和安全性管理软件
GJ_ia的博客
01-09 276
能够保护现代应用程序协议,如REST/HTTP、gRPC和Kafka。传统防火墙在第3层和第4层运行,在特定端口上运行的协议要么完全受信任,要么完全被阻止。允许所有带有方法GET和路径/public/.*的HTTP请求。拒绝所有其他请求。* 允许service1在Kafka topic上生成topic1service2消费topic1。拒绝所有其他Kafka消息。* 要求HTTP标头出现在所有REST调用中。详情请参考7层协议。
Cilium 开源 Tetragon – 基于 eBPF 的安全可观测性 & 运行时增强
云原生实验室
05-18 1066
❝原文链接????:https://isovalent.com/blog/post/2022-05-16-tetragon译文原文链接????:https://icloudnative.io/posts/tetragon/ 请复制到浏览器打开译者:米开朗基杨、范彬Isovalent Cilium 企业版[1] 包含一个基于 eBPF 的实时安全可观测性和运行时增强(runtime e...
使用 Containerlab + Kind 快速部署 Cilium BGP 环境
cr7258的博客
08-28 1930
1 前置知识 1.1 Cilium 介绍 Cilium 是一款基于 eBPF 技术的 Kubernetes CNI 插件,Cilium 在其官网上对产品的定位为 “eBPF-based Networking, Observability, Security”,致力于为容器工作负载提供基于 eBPF 的网络、可观察性和安全性的一系列解决方案。Cilium 通过使用 eBPF 技术在 Linux 内部动态插入一些控制逻辑,可以在不修改应用程序代码或容器配置的情况下进行应用和更新,从而实现网络、可观察性和安全性相
kubernetes网络模型
08-10
在每一个节点上,Kubernetes会创建一个称为容器网络接口(CNI)的软件插件,该插件负责为Pod分配唯一的IP地址、创建虚拟网络和实现跨节点的通信。Pod可以通过直接使用IP地址进行通信,而无需进行任何网络地址转换。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值