转载:Kubernetes网络CNI插件:Flannel与Calico详解
Kubernetes 网络模型基于插件架构设计,容器网络接口(CNI)插件负责具体的网络通信。
Kubernetes 网络概述
-
网络职责划分:
-
Kubernetes 本身不负责网络通信:Kubernetes 提供了容器网络接口 CNI(Container Network Interface),具体的网络通信交给 CNI 插件来负责。
-
CNI 插件:开源的 CNI 插件有很多种,如 Flannel、Calico 等。不同的插件实现不同的网络功能和特性。
-
VPC 网络支持:CCE(云容器引擎)专门为 Kubernetes 定制了 CNI 插件(如 Canal 和 Yangste),使得 Kubernetes 可以使用 VPC 网络。
-
-
网络连接机制:
-
Pod 互相通信:Kubernetes 集群中的 Pod 能够互相通信,且必须通过非 NAT 网络连接。即收到的数据包的源 IP 是发送数据包的 Pod 的 IP。
-
Pod 与节点之间通信:Pod 与节点之间的通信也是通过非 NAT 网络。但在 Pod 访问集群外部时,源 IP 会被修改成节点的 IP。
-
使用 Flannel 进行 Kubernetes 网络配置
-
安装 Flannel: 在 Kubernetes 集群中安装 Flannel 作为 CNI 插件。可以使用以下命令来安装 Flannel:
kubectl apply -f https://raw.githubusercontent.com/coreos/flannel/master/Documentation/kube-flannel.yml
2.Flannel 配置示例: Flannel 的配置文件内容如下:
apiVersion: policy/v1beta1
kind: PodSecurityPolicy
metadata:
name: psp.flannel.unprivileged
spec:
privileged: false
volumes:
- configMap
- secret
- emptyDir
- hostPath
allowedHostPaths:
- pathPrefix: "/etc/cni/net.d"
- pathPrefix: "/etc/kube-flannel/"
- pathPrefix: "/run/flannel/"
hostNetwork: true
hostPorts:
- min: 0
max: 65535
hostPID: false
hostIPC: false
seLinux:
rule: RunAsAny
supplementalGroups:
rule: RunAsAny
runAsUser:
rule: RunAsAny
fsGroup:
rule: RunAsAny
readOnlyRootFilesystem: false
3.验证网络配置: 验证网络配置是否生效。创建两个 Pod 并验证它们之间的网络连通性:
kubectl run --rm -it --image=busybox pod1 -- /bin/sh
# 在 Pod1 中执行
wget -qO- http://pod2-ip-address
4.节点之间的通信: Flannel 默认使用 VXLAN 来在不同节点之间创建一个覆盖网络,使得不同节点上的 Pod 能够互相通信。可以通过以下命令查看 Flannel 配置的网络接口:
ip a | grep flannel
使用 Calico 进行 Kubernetes 网络配置
-
安装 Calico: 选择 Calico 作为 CNI 插件。可以使用以下命令来安装 Calico:
kubectl apply -f https://docs.projectcalico.org/v3.14/manifests/calico.yaml
-
Calico 配置示例: Calico 的配置文件内容如下:
apiVersion: v1
kind: ConfigMap
metadata:
name: calico-config
namespace: kube-system
data:
# 设置 Calico 的后端类型为 vxlan
calico_backend: "vxlan"
# 设置 BGP 的启用
enable_bgp: "true"
3.验证网络配置: 验证 Calico 配置的网络连通性:
kubectl run --rm -it --image=busybox pod1 -- /bin/sh
# 在 Pod1 中执行
wget -qO- http://pod2-ip-address
4.Calico 的特性: Calico 除了提供基本的网络功能外,还提供了更高级的网络策略管理功能,可以通过定义 NetworkPolicy 来控制 Pod 之间的通信。例如:
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: allow-all
namespace: default
spec:
podSelector: {}
policyTypes:
- Ingress
- Egress
ingress:
- {}
egress:
- {}
Kubernetes 的网络模型依赖于 CNI 插件来实现具体的网络通信功能。不同的 CNI 插件(如 Flannel 和 Calico)提供了不同的功能和特性,用户可以根据需求选择合适的插件进行部署和配置。通过正确配置 CNI 插件,可以确保 Kubernetes 集群中的 Pod 和节点之间实现高效、可靠的网络通信。