K8s为什么需要calico? calico 原理深入理解.

已于 2024-05-02 19:37:02 修改
阅读量4.2k 收藏 8
点赞数 1
分类专栏: # k8s 文章标签: kubernetes 容器 云原生
于 2023-07-10 21:30:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MyySophia/article/details/131631144
版权
本文详细探讨了Calico在Kubernetes中的作用,解释了为何K8s选择Calico作为网络插件。内容涵盖Calico的三层网络模型、BGP路由原理、IPIP模式以及跨节点通信机制。通过对calico Pod间的通信过程的分析,揭示了Calico如何通过BGP协议实现高效、灵活的网络路由,并讨论了其在大规模集群中的挑战与解决方案。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

为什么需要calico?

Status: Not Started
Tags: 网络, 面试

-网络插件”千千万”,为何k8s要用calico

Calico作为容器网络方案和我们前面介绍的那些方案最大的不同是它没有采用overlay网络做报文的转发,而是提供了纯3层的网络模型.

三层通信模型表示每个容器都通过IP直接通信,中间通过路由转发找到对方。在这个过程中,容器所在的节点类似于传统的路由器,提供了路由查找的功能。要想路由能够正常工作,每个容器所在的主机节点扮演了虚拟路由器(vRouter)的功能,而且这些vRouter必须有某种方法,能够知道整个集群的路由信息。(必须开启内核ip forward )

Calico是一个基于BGP的纯三层的数据中心网络方案(也支持overlay网络),并且与Kubernetes、OpenStack、AWS、GCE等IaaS和容器平台有良好的集成。

Calico的设计比较新颖,*之前提到flannel的host-gw模式之所以不能跨二层网络,是因为它只能修改主机的路由,Calico把改路由表的做法换成了标准的BGP路由协议。*相当于在每个节点上模拟出一个额外的路由器,由于采用的是标准协议,Calico模拟路由器的路由表信息可以被传播到网络的其他路由设备中,这样就实现了在三层网络上的高速跨节点网络。

calico的架构

Calico组件主要架构由Felix、Confd、BIRD组成:

  • Felix是负责Calico Node运行并作为每个节点Endpoint端点的守护程序,它负责管理当前主机中的Pod信息,与集群etcd服务交换集群Pod信息,并组合路由信息和ACL策略。
  • Confd是负责存储集群etcd生成的Calico配置信息,提供给BIRD层运行时使用。
  • **BIRD(BIRD Internet Routing Daemon)是核心组件,**Calico中的BIRD特指BIRD Client和BIRD Route Reflector,负责主动读取Felix在本机上设置的路由信息,并通过BGP广播协议在数据中心中进行分发路由。

calico Pod 跨node通信

在这里插入图片描述

1、 ping 数据包从pod1从容器的eth0发出后,发现目标ip不是一个子网,所以直接走网关出去

2、pod 的网关是169.254.1.1

3、对网关IP发起ARP请求,谁是169.254.1.1?mac地址是?发现是一个全E的MAC地址

[root@node2 ~]#arping 169.254.1.1
ARPING 169.254.1.1 from 10.244.104.5 eth0
Unicast reply from 169.254.1.1 [EE:EE:EE:EE:EE:EE]  0.540ms
Unicast reply from 169.254.1.1 [EE:EE:EE:EE:EE:EE]  0.550ms
Unicast reply from 169.254.1.1 [EE:EE:EE:EE:EE:EE]  0.540ms

4、node1的 veth pari 端calixxx收到 这个ARP 请求。通过开启网卡的代理 ARP 功能直接把自己的 MAC 地址返回给 pod1。

pod1中的mac 和calixx的mac都是全e,通过在宿主机上查询ARP表得知需要转达到哪个calixxx

可以看下面的抓包数据。

5、pod1 发送目的地址为pod2的IP 数据包(1-4主要是构造二层包)

6、不在一个子网,本地无法处理,数据包查找本地路由表,匹配到如下路由表:

10.244.136.0/26 via 10.50.10.33 dev tunl0 proto bird onlink

经过tunl0封包之后转发到10.50.10.33 也就是master3

此时IP数据报中Inner IP Header的IP:10.244.166.179 --> 10.244.136.13, OuterIP Header:10.50.10.34 → 10.50.10.33

7、tunl0收到数据包之后会按照ipip协议规范对进来的IP数据包封装一层外层IP头,外层IP的目的ip地址根据6步骤中的路由设置目的ip为网关10.50.10.33,外层IP的源ip地址为本node的ip 10.50.10.34。此时IP数据报变为:

Outer IP Header的IP:10.50.10.34 --> 10.50.10.33;

Inner IP Header的IP:10.244.166.179 --> 10.244.136.13。

tunl0把接收到的数据包封装成ipip报文直接发给tcp/ip协议栈。

8、tcp/ip协议栈根据ipip报文的目的地址和系统路由表(如果在一个子网就不需要),知道目的地址为10.50.10.33的数据报需要通过node master3 的eth0发送。

这一步对我的环境来说只直接二层转发因为是在同一个子网,不需要route

9、数据最终到达master3上的路由

10.244.136.13 dev cali3461c4b49f0 scope link

8、此时消息转发到了master3的veth pair calixxx端的设备,这个设备和容器另外一段的veth pair进行通信

在这里插入图片描述

容器内部的arp表

arp -a</
最低0.47元/天 解锁文章
K8S系列】深入解析k8s网络插件—Calico
颜淡慕潇
07-20 2万+
Calico是一个强大的开源容器网络和网络安全解决方案,广泛应用于Kubernetes集群和其他容器编排平台。 它通过利用BGP(Border Gateway Protocol)协议和Linux网络命名空间来实现高性能的容器间通信和网络策略控制。
K8s为什么需要calico? calico原理深入理解.
高性价比服务器就选:蓝易云
08-05 252
综上所述,CalicoKubernetes中被广泛使用是因为它提供了高性能、安全和可扩展的网络解决方案。通过使用BGP路由协议、IP池管理、网络策略和底层的Linux内核功能,Calico使得容器之间的通信更加高效和可靠。希望这些信息对你有帮助!Calico是一个在Kubernetes集群中常用的网络插件,它为Kubernetes提供了高性能的网络解决方案。Calico的主要目标是为容器和虚拟机提供安全、可扩展和高性能的网络连接。
K8s Calico网络介绍
最新发布
lijunwusino的博客
03-24 1126
Calico 是一套开源的网络和网络安全解决方案,适用于容器、虚拟机、宿主机之间的网络连接等场景。支持广泛的平台,常见的有kubernetes、DockerEE、OpenStrack等PaaS或IaaS平台和裸机服务。
Calico 介绍、原理与使用
qq_24794401的博客
05-08 5192
什么是 CalicoCalico是一套开源的网络和网络安全方案,用于容器、虚拟机、宿主机之前的网络连接,可以用在kubernetes、OpenShift、DockerEE、Open...
从小白到大神之路之学习运维第79天-------Kubernetes网络组件详解
2302_77582029的博客
08-14 580
从小白到大神之路之学习运维第79天-------Kubernetes网络组件详解
10 张图解 K8S CNI Calico 网络模型原理与功能实战
2201_75362610的博客
08-15 2417
Calico` 是一个联网和网络策略供应商。Calico 支持一套灵活的网络选项,因此你可以[根据自己的情况选择最有效的选项,包括非覆盖和覆盖网络,带或不带 BGP。
k8s为什么Calico
weixin_37788102的博客
10-02 720
Felix是Calico的数据平面代理,运行在每个节点上,负责处理数据包的转发、路由和策略执行。Calico采用点对点的网络模型,每个Pod的veth对直接连接到主机的路由表中,而不是通过桥接设备。这种架构使得Calico可以直接利用Linux内核的路由和防火墙功能,实现高效的网络转发和策略控制。此外,Calico还支持多种工作模式,包括IPIP和BGP模式,以适应不同的网络环境和需求‌34。‌Calico是一种开源的网络和安全解决方案,主要用于容器、虚拟机、宿主机之间的网络连接。
k8s-网络插件-calico.zip
12-17
它通常与Kubernetesk8s)一起使用,为集群中的Pod提供网络功能。Calico使用BGP(边界网关协议)作为其路由协议,并且可以与Linux内核中的标准网络虚拟化功能(如IPtables)无缝集成。 在Kubernetes集群中部署...
k8s - calico.yaml
07-24
k8s -- calico.yaml
sealos离线安装k8s资源包-calico-3.24.1.tar
08-15
sealos离线安装k8s资源包-calico-3.24.1.tar
k8s网络插件calico启动yaml文件
06-10
k8s网络插件calico启动yaml文件
Kubernetes那点事儿——K8s网络插件calico
liangpangpangyo的博客
10-18 1652
Kubernetes引入的网络模型提出了下列基本要求。只要满足了这些要求,即可成为一个K8s网络方案供应商。
k8s网络插件之Calico
热门推荐
梵修
12-01 1万+
Calico是一套开源的网络和网络安全解决方案,用于容器、虚拟机、宿主机之前的网络连接,它是一个纯三层的虚拟化网络解决方案,它把每个节点都作为一个虚拟路由器,并把每个节点上的Pod当作是节点路由器后的一个终端设备并为其分配一个IP地址。各节点路由器通过BGP协议生成路由规则,从而实现不通节点上Pod间的通信。如下图:与Flannel相比,Calico的一个显著优势是对网络策略的支持,它允许用户定义访问控制规则以管控进出Pod的数据报文,从而为Pod间的通信施加安全策略。
kubernetes/k8s概念】calico 介绍与与原理
zhonglinzhang
07-28 9001
WHAT Calico Calico是一个纯三层的协议,使用虚拟路由代替虚拟交换,每一台虚拟路由通过BGP协议可达信息(路由)到剩余数据中心。与 Flannel 不同的是 Calico 不使用隧道或 NAT 来实现转发,而是巧妙的把所有二三层流量转换成三层流量,并通过 host 上路由配置完成跨 Host 转发 把 Host 当作 Internet 中的路由器,同样...
K8S Calico
elihe2011的专栏
02-22 795
1. 概述 Calico是一个基于 BGP 的纯三层网络方案。它在每个计算节点都利用 Linux kernel 实现了一个高效的虚拟路由器 vRouter 来进行数据转发。每个 vRouter 都通过 BGP 协议将本节点上运行容器的路由信息向整个 Calico 网络广播,并自动设置到达其他节点的路由转发规则。 Calico 保证所有容器之间的数据流量都通过 IP 路由的方式完成互联互通。Calico 节点组网可以直接利用数据中心的网络结构 (L2/L3),不需要额外的 NAT,隧道或者 Overlay 网
k8s集群使用calico网络组件
ApexPredator的博客
12-19 2105
k8s集群使用calico网络组件
k8s 网络之Calico
tuonian的博客
05-11 2396
Calico 是一种容器之间互通的网络方案。 在虚拟化平台,比如OpenStack、Docker等,都需要实现workloads之间的互连,同时也需要对容器做隔离控制。就像云服务器的安全组,只开放特定的端口,白名单之类的,需要提供隔离和管控机制。 在多数的虚拟化平台实现中,通常都是用二层隔离技术来实现容器的网络,这些二层的技术有一些弊端,比如需要依赖VLAN,bridge或者隧道技术,其中bridge带来了复杂性,VLAN隔离和tunnel隧道则消耗更多的资源,并对物理环境有要求,随着网...
Linux高级---k8s搭建之使用calico网络插件
m0_54232496的博客
05-26 4310
保姆级带你手把手安装k8s集群,一文解决!!!
新时期下k8s 网络插件calico 安装
blackawhite的博客
01-07 3303
解决cni网络插件calico的安装,解决k8smaster节点notready状态
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

MyySophia

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值