Cilium创建pod network源码解析

最新推荐文章于 2024-07-30 22:31:13 发布
最新推荐文章于 2024-07-30 22:31:13 发布
阅读量867 收藏 2
点赞数
文章标签: java go kubernetes 分布式 中间件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ZVAyIVqt0UFji/article/details/121846889
版权
本文详细解析了Cilium如何创建Pod网络,包括cilium-operator如何根据CNI标准管理IPAM,分配Pod CIDR,以及cilium-agent如何创建veth pair、分配Pod IP并部署BPF程序实现负载均衡和服务发现。Cilium通过BGP协议宣告路由,简化运维,提高可观测性。CNI流程主要包括创建网络资源、分配IP及下发eBPF程序三个步骤,实现了高性能和高效网络管理。
摘要由CSDN通过智能技术生成

01

Overview

我们生产K8s使用容器网络插件 Cilium 来创建 Pod network,下发 eBPF 程序实现 service 负载均衡来替换 kube-proxy,并且使用 BGP 协议来宣告路由给交换机,使得 pod ip 在内网可达。

目前 BGP speaker 使用 bird 软件, 不过随着 Cilium 最近新版本已经集成 MetalLB 库(https://github.com/cilium/metallb),可以使用 MetalLB 自带的 BGP speaker 来宣告路由,后续只需要部署 cilium-operator deployment 和 cilium-agent daemonset 两个组件,无需部署 bird daemonset 组件,运维成本更低,而且可以通过 cilium metrics 来获取 BGP 相关可观测性数据,具体详情可见 #16525 (https://github.com/cilium/cilium/pull/16525/),代码可见 pod_cidr.go(https://github.com/cilium/cilium/blob/master/pkg/bgp/speaker/pod_cidr.go)

Cilium 作为容器网络插件遵循 CNI 标准,部署时主要部署两个组件:cilium-operator deployment 和 cilium-agent daemonset。

cilium-operator 组件会根据选择的 ipam mode 不同选择不同的 ipam 逻辑,一般默认选择 cluster-pool 模式,这样 cilium-operator 会给每一个 v1.Node 对象创建对应的 CiliumNode 对象,且根据 cluster-pool-ipv4-cidr 和 cluster-pool-ipv4-mask-size 两个配置计算出每一个节点的 pod cidr subnet 值,并存储在该 CiliumNode 对象 spec.ipam.podCIDRs 字段中。比如给集群设置两个集群网段 cluster-pool-ipv4-cidr 为 10.20.30.40/24 和 50.60.70.80/24,cluster-pool-ipv4-mask-size 设置为 26,cilium-operator 组件可以支持一个网段消耗完了可以从下一个网段继续分配 pod cidr net,代码见 clusterpool.go#L107-L141(https://github.com/cilium/cilium/blob/master/pkg/ipam/allocator/clusterpool/clusterpool.go#L107-L141 )。根据 cluster-pool ipam 逻辑会依次把 cluster-pool-ipv4-cidr 10.20.30.40/24 分成 2^(26-24)=4 个子网段 pod cidr subnet,如果 10.20.30.40/24 消耗完了,则继续消费 50.60.70.80/24 网段,一个子网段的切分可见代码 cidr_set.go(https://github.com/cilium/cilium/blob/master/vendor/github.com/cilium/ipam/cidrset/cidr_set.go),这个逻辑也是复用的 k8s nodeipam 逻辑 cidr_set.go(https://github.com/kubernetes/kubernetes/blob/v1.22.3/pkg/controller/nodeipam/ipam/cidrset/cidr_set.go)总之,cilium-operator 组件会根据 v1.node 的添加和删除,来添加和删除 CiliumNode 对象,同时使用 IPAM 来管理每一个 node 的子网 allocate/release 操作。

cilium-agent 组件会从其对应的子网段出再去划分出每一个 pod ip,上文已经说过 cilium-agent 或者 bird 会把每一个子网段 pod cidr subnet 通过 BGP 协议宣告给交换机,本机 node ip 作为下一跳,所以使得每一个 pod ip 内网可达。kubelet 在创建 pod sandbox container 时会调用 cilium cni 二进制文件来为当前 pod 创建 network,同时 cilium cni 作为客户端会调用服务端 cilium-agent pod 来分配 pod ip。

那 cilium-agent 做了哪些工作呢?以及默认不像 calico 那样每一个 pod 的宿主机端网卡,都会创建对应的路由,cilium 如何下发哪些 eBPF 程序做到这一点的?这是本文重点讨论的问题。

02

Cilium 工作原理

Cilium CNI 在为 pod 创建网络资源的过程,粗略说起来不复杂,主要分为三步:

  • 为 pod 创建网卡 veth pair,并配置 mac 以及容器侧的路由等等网络资源

  • Cilium IPAM 从该节点的子网段 pod cidr 中分配出一个 ip,并配置到 pod 网卡

  • 为该 pod 创建对应的 CiliumEndpoint/CiliumIdentity 对象,计算并下发 network policy 规则,以及下发 eBPF 程序到 pod 网卡上。

限于篇幅以及为了精简,本文暂不考虑 network policy 逻辑,以及只考虑 create pod 时 cilium 的处理逻辑,不考虑 delete pod 时的逻辑。

01 Cilium 创建网络资源

在创建 pod 时,kubelet 会调用 Cilium 二进制文件,该二进制文件路径在启动 kubelet 时通过参数 --cni-bin-dir 传进来的,一般默认为 /opt/cni/bin/ ,

比如在宿主机该目录下存在 /opt/cni/bin/cilium-cni 二进制文件,kubelet 启动参数 --cni-conf-dir 包含 cni 配置文件路径,一般默认为 /etc/cni/net.d/05-cilium.conf ,如文件内容为:

{
  "cniVersion": "0.3.1",
  "name": "cilium",
  "type": "cilium-cni",
  "enable-debug": false
}

kubelet 和 cni 插件交互的具体内容可以参见之前的文章 《Kubernetes学习笔记之Calico CNI Plugin源码解析(一)》(https://juejin.cn/post/6916326439851655176) 

该文件内容将会被 json 反序列化为 NetConf (https://github.com/cilium/cilium/blob/master/plugins/cilium-cni/types/types.go#L22-L33)对象,cni 代码中 args.StdinData 参数(https://github.com/cilium/cilium/blob/master/plugins/cilium-cni/cilium-cni.go#L278) 即为该文件内容。

最低0.47元/天 解锁文章
ZVAyIVqt0UFji
关注
K8s 应用的网络可观测性: Cilium VS DeepFlow
每天都要开心呀(#^.^#)
03-25 1611
快速提高云原生应用开发者建设K8S网络可观测性能力
一文理解 K8s 容器网络虚拟化
阿里云技术
12-01 1927
本文需要读者熟悉 Ethernet(以太网)的基本原理和 Linux 系统的基本网络命令,以及 TCP/IP 协议族并了解传统的网络模型和协议包的流转原理。文中涉及到 Linux 内核的具体实现时,均以内核 v4.19.215 版本为准。
cilium初探(二)
long75719507的专栏
12-05 2282
三、cilium网络通信详解 默认情况下,cilium使用vxlan的overlay模式。跨主机通信示例图如下: cilium安装完毕,会在主机创建一些网卡: cilium-vxlan,用于vxlan封包; cilium-host和cilium-net,一对veth-pair(类似于kube-proxy ipvs创建的dummy网卡)。 1、c1 ping c2的通信细节 (...
Cilium 源码解析:Node 之间的健康探测(health probe)机制
云原生实验室
01-04 940
更多奇技淫巧欢迎订阅博客:https://fuckcloudnative.io前言排查问题时研究了一下 Cilium health probe 相关的代码,本文略作整理,仅供参考。代码基...
unable to allocate IP via local cilium agent
最新发布
喝醉酒的小白
07-30 524
这个错误信息来自于尝试在Kubernetes集群中创建一个Pod时遇到的问题。:如果问题依然无法解决,可能需要联系集群管理员或者查看集群的监控系统来获取更多信息。如果你有权限访问集群并且需要具体的命令或者操作步骤,我可以提供更详细的帮助。:确认集群中有足够的资源来创建新的Pod,包括CPU、内存和IP地址。:确认Pod的定义文件没有错误,并且Pod的命名空间是正确的。:检查Cilium的日志文件以获取更详细的错误信息。:有时候重启Cilium服务可以解决临时的问题。
cilium-testings:使用Cilium进行调查和测试
04-01
纤毛测试 目标 该项目旨在研究Cilium的工作方式,以及如何将其与Junos cRPD集成。 测试基础架构 测试基础结构是具有2 * 10 CPU / 256G内存的基本服务器,在该服务器上部署了一组虚拟机。 使用ubuntu Focus进行基本节点配置 root@5b11s15:~# cat /etc/os-release NAME="Ubuntu" VERSION="20.04.1 LTS (Focal Fossa)" ID=ubuntu 通过快照安装多通道虚拟机实例化 apt install snapd -y snap install multipass 启动3个Ubuntu VM multipass launch -n ubuntu1 --cpus 6 --mem 8G --disk 30G multipass launch -n ubuntu2 --cpus 6 --me
云原生网络利器--Cilium Service Mesh
flynetcn的专栏
08-23 714
本篇技术文章主要从 Cilium 的技术视角出发,通过分析 Service Mesh 的相关技术,来了解一下基于 eBPF 技术的网络方案 Cilium,拥有怎样处理微服务治理的相关能力。
CNI(Container Network Plugin)
喝醉酒的小白
08-03 1231
CNI(Container Network Plugin)规范由CoreOS提出,并被Kubernetes采纳。当前container networking/cni项目实现了CNI接口规范。containernetworking/cni项目针对Linux container的网络配置提供了指定的接口以及具体的插件实现。宏观上来看,cni所做的很简单,就是将容器加入到一个网络中,并且保证容器之间的连通性。具体的实现方案由底层的不同cni插件来实现。............
倍受关注的 Cilium Service Mesh 到底怎么玩? 上手实践
Z70czd的博客
04-19 994
这个月马上就又要过去了,还在找工作的小伙伴要做好准备了,小编整理了大厂java程序员面试涉及到的绝大部分面试题及答案,希望能帮助到大家《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数Java工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则几千的学费,着实压力不小。
cilium插件测试_[译] 基于 Envoy、Cilium 和 eBPF 实现透明的混沌测试(2019)
weixin_42323064的博客
01-14 946
[译] 基于 Envoy、Cilium 和 eBPF 实现透明的混沌测试(2019)Published at 2019-06-02 | Last Update 2019-06-04译者序本文内容来自 2019 年的一个技术分享 Transparent Chaos Testing with Envoy, Ciliumand eBPF,演讲嘉宾是 Cilium 项目的创始人和核心开发者,演讲为英文。本...
K8S Calico网络插件
「 虚幻私塾」
05-24 2017
🚀 优质资源分享 🚀 学习路线指引(点击解锁) 知识定位 人群定位 🧡 Python实战微信订餐小程序 🧡 进阶级 本课程是python flask+微信小程序的完美结合,从项目搭建到腾讯云部署上线,打造一个全栈订餐系统。 💛Python量化交易实战💛 入门级 手把手带你打造一个易扩展、更安全、效率更高的量化交易系统 目录 0.前言 1.Calico概述 1.1.Calico组件 1.2.Calico网络实现 1.3.了解Calico对CIDR子网的划分(blockSiz
Kubernetes部署CNI网络组件
Ybaocheng的博客
02-22 1012
节点网络 nodeIP 物理网卡的IP实现节点间的通信Pod网络 podIP PodPod之间可通过Pod的IP相互通信Service网络 clusterIP 在K8S集群内可通过service资源的clusterIP实现对Pod集群的网络代理转发。
Cilium 1.11:服务网格的未来已来
猫头虎:授渔优于赠鱼,兴趣引领智慧,探索之乐尤显珍贵。商务合作:Libin9iOak,共赴知识与乐趣的探索之旅!
09-19 276
Cilium 1.11测试版(Beta)为你带来了一系列引人注目的功能和增强功能,包括OpenTelemetry支持、感知拓扑的负载均衡、Kubernetes APIServer策略匹配,以及更多功能。本文将为您详细介绍这个令人振奋的版本,以及它为现代应用程序网络安全和性能带来的突破。Cilium 是一个开源软件,为基于 Kubernetes 的 Linux 容器管理平台上部署的服务,透明地提供服务间的网络和 API 连接及安全。
k8s 1.20,IPv4/IPv6 双协议栈
十个菜
02-25 4399
还没验证文档先一波 FEATURE STATE:Kubernetes v1.16 [alpha] IPv4/IPv6 双协议栈能够将 IPv4 和 IPv6 地址分配给Pod和Service。 如果你为 Kubernetes 集群启用了 IPv4/IPv6 双协议栈网络, 则该集群将支持同时分配 IPv4 和 IPv6 地址。 Alpha版的更新:IPV4/IPV6 为了支持基于用户和社区反馈的双栈IPv4/IPv6服务,双栈 IPv4/IPv6 已重新实现。这允许将 IPv4 和 IPv...
unable to allocate IP via local cilium agent: post / ipam postIpamFilure expiration timer already
喝醉酒的小白
04-25 396
This error message indicates that the Cilium agent is encountering an issue when trying to allocate an IP address using the IP Address Management (IPAM) feature. Specifically, the error message is suggesting that there is already an expiration timer regist
Cilium 1.10 重磅发布!】支持 Wireguard, BGP, Egress IP 网关, XDP 负载均衡, 阿里云集成
云原生Serverless的专栏
05-26 2049
作者: 清弦 阿里云技术专家,主要负责ACK 容器网络设计与研发,阿里云开源CNI项目Terway 主要维护者,Cilium Alibaba IPAM 贡献者 本文翻译自Cilium 1.10 发布文档[1]由于译者水平有限,本文不免存在遗漏或错误之处。如有疑问,请查阅原文。以下是译文。 Egress IP Gateway BGP for LoadBalancer VIP 阿里云集成 Wireguard 透明加密 Cilium ARM64 镜像 Cilium CL...
最受关注的 Cilium Service Mesh 到底怎么玩? - 上手实践
k8s 生态
12-21 543
大家好,我是张晋涛。Cilium 是一个基于 eBPF 技术,用于为容器工作负载间提供安全且具备可观测性的网络连接的开源软件。如果你对 Cilium 还不太了解,可以参考我之前的两篇文章:...
Cilium Masquerading 故障排查记录
云原生实验室
07-01 759
❝本文转自 lx1036 的博客,原文:https://juejin.cn/post/7112768193126465567/,版权归原作者所有。欢迎投稿,投稿请添加微信好友:cloud-native-yang背景在版本升级 cilium v1.8.1 到 v1.11.1 时,导致业务 pod 报错连接 mysql 授权错误,经过排查发现连接 mysql server 的...
Cilium架构简介&eBPF数据流向查看
04-26 888
1环境准备上一篇文章将 k8s 的网络插件改为 cilium 同时部署了观测平台 hubble,部署方式可参考上篇。基于eBPF的k8s网络插件Cilium部署与流量治理浅尝本篇讲一下 cilium的架构和数据流向的查看方式。首先,你需要一个kubernetes集群,并使用了 cilium 网络插件。部署后可以看到,每个节点上都启动了一个cilium pod,还有一个cilium-operato...
cilium插件创建StatefulSet固定IP的pod
07-11
要使用Cilium插件为StatefulSet创建具有固定IP的Pod,你可以按照以下步骤进行操作: 1. 确保你已经安装了Cilium插件,并且它已经在Kubernetes集群中正常运行。 2. 创建一个StatefulSet的定义文件,例如`statefulset.yaml`,并添加以下内容: ```yaml apiVersion: apps/v1 kind: StatefulSet metadata: name: your-statefulset-name spec: selector: matchLabels: app: your-app-label serviceName: your-service-name replicas: 3 # 根据需要进行修改 template: metadata: labels: app: your-app-label spec: terminationGracePeriodSeconds: 10 containers: - name: your-container-name image: your-container-image # 添加其他容器配置项 # 添加其他模板配置项 ``` 3. 在StatefulSet定义文件中,添加CiliumNetworkPolicy注解,在模板的spec部分中,如下所示: ```yaml spec: template: metadata: annotations: io.cilium/network-policy: "true" ``` 4. 使用`kubectl apply`命令来创建StatefulSet: ```shell kubectl apply -f statefulset.yaml ``` 这样,Cilium插件会自动为StatefulSet中的Pod分配固定的IP地址,并且还会为它们创建相应的网络策略。 注意:确保你的Cilium插件已正确配置,并且具有足够的权限来管理网络策略和Pod IP地址。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值