flannel网络

最新推荐文章于 2024-05-22 17:38:54 发布
最新推荐文章于 2024-05-22 17:38:54 发布
阅读量511 收藏
点赞数
分类专栏: kubernetes 文章标签: 网络 kubernetes 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a1023934860/article/details/133875750
版权

flannel网络

前言

知识补充

arp表

在局域网内,通常是先执行ARP(地址解析协议)然后才进行路由。ARP用于将IP地址解析为MAC地址,以便在局域网上直接传输数据帧。具体流程如下:

  1. 源设备要发送数据包到目标设备,首先它会检查目标设备是否在同一子网(局域网)上。如果目标设备与源设备在同一子网上,那么源设备将首先查看本地的ARP缓存表,查找目标设备的MAC地址。
  2. 如果ARP缓存中没有目标设备的MAC地址,源设备将广播一个ARP请求,询问整个局域网中是否有设备知道目标IP地址对应的MAC地址。
  3. 目标设备接收到ARP请求后,会回应一个ARP响应,其中包含了目标设备的MAC地址。
  4. 源设备接收到ARP响应后,会将目标设备的MAC地址存储在ARP缓存中,以便后续通信。

一旦源设备知道了目标设备的MAC地址,它就可以构建以太网数据帧并将数据包发送到目标设备,而无需进行路由。只有当目标设备不在同一子网上,需要通过路由器进行跨子网通信时,才会进行路由操作。

所以,先执行ARP以解析MAC地址,然后进行路由以确保数据包最终到达目标设备。

通常情况下,设备在同一子网内通信时会发送 ARP 请求以获取目标设备的 MAC 地址,然后将数据包发送到目标设备的 MAC 地址。这适用于局域网内的直接通信。设备不会自动将默认网关用作目标,除非要访问不在同一子网内的目标设备或外部网络。在这种情况下,设备将使用默认网关来路由数据包到其他子网或外部网络。

原理

在k8s网络中,pod内部通讯直接通过lo网卡就可以实现,因为他们是同一个命名空间,而同节点,不同pod之间的通讯是通过物理机的网桥进行实现的。

其原理是在物理机上创建一个虚拟网桥,然后为每个POD都创建一对veth,一个绑定到POD的网络命名空间中,一个绑定到创建的虚拟网桥上(veth虚拟以太网)。POD与POD之间的访问只需要通过网桥就可以进行通讯。POD发起请求后,首先通过arp获取到服务端mac地址,请求会到达cni0网桥上(如果是k8s并且使用的cni,那么k8s会创建一个cni0网桥,然后把容器绑定到该网桥上,与docker0网桥区分开来。),网桥根据mac地址找到服务端绑定在物理机上的网卡然后转发。docker会创建一个docker0的网桥,docker run运行的容器都会绑定到这个网桥上。如果是k8s创建的容器,那么会根据策略,创建对应的网桥。

对于跨节点的访问,因为网桥只绑定了节点内部的网卡,所以如果将请求还转发给网桥肯定是无法找到目的地的,那么就只有将请求发送给物理机的默认网卡(这里需要将物理网卡添加到网关中),但是由于目的地址是pod的ip,在没有路由规则或者nat的情况下,是无法路由到目的地的。那么这时候我们只需要通过某种方式将两个局域网(跨节点POD)之间的路由打通,就能实现跨节点的通讯了

常用的做法是使用flannel或者calico进行将路由打通。

flannel: vxlan,将要扩节点访问的请求,先通过本地路由到flanneld里,flanneld再对请求包进行封装(使用vxlan技术),然后发送给跨节点的flanneld程序中,对方flanneld程序对请求包进行解析,然后再转发数据到指定的pod中。

实战

下面只说使用vxlan 的时候的流量走向

  1. 进入容器内部使用arp -n 以及route -n 分别查看mac映射表以及路由表,由此我们可以知道,当跨节点通讯的时候,因为目标地址不是同网段所以mac地址会直接使用默认网关的mac地址,然后通过eth0网卡发出,因为eth0网卡另一头连着物理机的网桥,所以会发送给网桥。

    / # arp -n
 (10.233.64.1) at 6a:64:e3:ef:02:1c [ether]  on eth0
 (10.233.64.47) at 26:28:6e:f9:f0:fb [ether]  on eth0
/ # route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         10.233.64.1     0.0.0.0         UG    0      0        0 eth0
10.233.64.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
10.233.64.0     10.233.64.1     255.255.192.0   UG    0      0        0 eth0

  2. 在物理机上,网关继续转发请求,运行 arp -n 以及route -n,查看mac映射表以及路由表,通过路由表我们可知目标地址网关为10.233.65.0​,那么对应的mac地址就是82:51:c7:9c:d1:d7 通过flannel.1转发。

    路由表
10.233.65.0     10.233.65.0     255.255.255.0   UG    0      0        0 flannel.1

arp表
10.233.65.0              ether   82:51:c7:9c:d1:d7   CM                    flannel.1
10.233.64.55             ether   be:e7:18:88:ff:39   C                     cni0

  3. 通过 bridge fdb show |grep 82:51:c7:9c:d1:d7 我们可以获取到目标地址的物理节点ip地址

    82:51:c7:9c:d1:d7 dev flannel.1 dst 10.20.31.107 self permanent

  4. 通过ip -d link show flannel.1 查看flannel.1网桥的详细信息

    vxlan id 1 local 10.20.31.106 dev ens192 srcport 0 0 dstport 8472 nolearning ageing 300 noudpcsum noudp6zerocsumtx noudp6zerocsumrx addrgenmode eui64 numtxqueues 1 numrxqueues 1 gso_max_size 65536 gso_max_segs 65535

  5. 由此可以明白吗,请求会使用vxlan策略,源ip为10.20.31.106 目标地址为10.20.31.107 端口为8472,通过ens192网卡转发出去。

命令

  • bridge fdb show 查看 Linux 桥接设备上的桥接表 (Forwarding Database) 中的信息。该命令显示了在网络交换机或网桥上学到的 MAC 地址的记录,以及与这些地址关联的端口信息。

  • ip -d link show flannel.1 查看flannel.1的vxlan配置 输出vxlan id 1 local 10.20.31.106 dev ens192 srcport 0 0 dstport 8472​的意思是

    • vxlan id 1​: 这是 VXLAN 的虚拟网络标识符,通常用于标识不同的 VXLAN 网络。在这种情况下,VXLAN 的 ID 被设置为 1。
    • local 10.20.31.106​: 这指定了 VXLAN 接口的本地 IP 地址,即用于通信的本地 IP 地址。
    • dev ens192​: 这指定了 VXLAN 接口的底层物理网络设备,即 VXLAN 封装的数据将通过 ens192​ 网卡发送和接收。
    • srcport 0 0​: 这定义了 VXLAN 包的源端口范围。在此示例中,范围被设置为 0 到 0,这意味着 VXLAN 包的源端口将由系统动态分配。
    • dstport 8472​: 这指定了 VXLAN 包的目标端口,即用于 VXLAN 数据包的传输的目标端口号,通常为 8472。
    • nolearning​: 这表明 VXLAN 接口不会学习 MAC 地址,而是将数据包发送到指定的目标地址。

  • arp -n 获取ip-> mac的映射表

  • route -n 获取路由表

源码分析

flannel是一个daemonsets 类型的应用,它会在每台机器上都启动一个pod,使用hostNetwork: true 物理节点的网络,这样以便于管理arp表、route表、fdb表(vxlan)信息。

注册网络策略

获取配置

flanneld在启动的时候,会读取配置文件(配置文件有两种获取方式,如果开启了kube-subnet-mgr​ 默认为false 便使用net-conf.json,否则直接使用etcdclient访问 /coreos.com/network/config 获取配置信息) ,里面存放了当前k8s集群POD的IP范围,以及要使用的策略(vxlan、udp…)。配置文件读取完成后,就开始根据配置文件里面的type进行定向注册网络策略工作。

具体结构体如下

type Config struct {
	EnableIPv4    bool
	EnableIPv6    bool
	Network       ip.IP4Net
	IPv6Network   ip.IP6Net
	Networks      []ip.IP4Net
	IPv6Networks  []ip.IP6Net
	SubnetMin     ip.IP4
	SubnetMax     ip.IP4
	IPv6SubnetMin *ip.IP6
	IPv6SubnetMax *ip.IP6
	SubnetLen     uint
	IPv6SubnetLen uint
	BackendType   string          `json:"-"`
	Backend       json.RawMessage `json:",omitempty"`
}

获取subset

因为使用的kube-subnet-mgr​策略,所以下面以kube-subnet-mgr​策略的角度解析flannel是如何利用subset的。

kube-subnet-mgr​ 策略是使用k8s中node资源里面PodCIDR​属性作为subset(该属性由kube controller manager设置)。

func (ksm *kubeSubnetManager) AcquireLease(ctx context.Context, attrs *lease.LeaseAttrs) (*lease.Lease, error) {
	var cachedNode *v1.Node
	var err error
	if ksm.disableNodeInformer {
		cachedNode, err = ksm.client.CoreV1().Nodes().Get(ctx, ksm.nodeName, metav1.GetOptions{ResourceVersion: "0"})
	} else {
		cachedNode, err = ksm.nodeStore.Get(ksm.nodeName)
	}

	n := cachedNode.DeepCopy()
	var bd, v6Bd []byte
	bd, err = attrs.BackendData.MarshalJSON()
	if err != nil {
		return nil, err
	}
	var cidr, ipv6Cidr *net.IPNet
	switch {
	case len(n.Spec.PodCIDRs) == 0:
		_, parseCidr, err := net.ParseCIDR(n.Spec.PodCIDR)
		if err != nil {
			return nil, err
		}
		if len(parseCidr.IP) == net.IPv4len {
			cidr = parseCidr
		} 
	case len(n.Spec.PodCIDRs) < 3:
		for _, podCidr := range n.Spec.PodCIDRs {
			_, parseCidr, err := net.ParseCIDR(podCidr)
			if err != nil {
				return nil, err
			}
			if len(parseCidr.IP) == net.IPv4len {
				cidr = parseCidr
			} else if len(parseCidr.IP) == net.IPv6len {
				ipv6Cidr = parseCidr
			}
		}
	}
	...
	return lease, nil
}

获取到subset后会将该信息写入到**/run/flannel/subnet.env**中,该文件会被flannel-cni插件使用,当pod中的sandbox被创建时,容器运行时会循环调用cni,去配置该pod的网络,并分配ip地址(先创建sandbox然后再创建正常的容器)

运行

flannel会通过infomer监听node资源的变化,当node资源变化时,根据node的PodCIDR 重新生成对应的route、arp、fdb。

func (nw *network) handleSubnetEvents(batch []lease.Event) {
	for _, event := range batch {
		sn := event.Lease.Subnet
		v6Sn := event.Lease.IPv6Subnet
		attrs := event.Lease.Attrs
		switch event.Type {
		case lease.EventAdded:
			if event.Lease.EnableIPv4 {
				if directRoutingOK {
					log.V(2).Infof("Adding direct route to subnet: %s PublicIP: %s", sn, attrs.PublicIP)

					if err := retry.Do(func() error {
						return netlink.RouteReplace(&directRoute)
					}); err != nil {
						log.Errorf("Error adding route to %v via %v: %v", sn, attrs.PublicIP, err)
						continue
					}
				} else {
					log.V(2).Infof("adding subnet: %s PublicIP: %s VtepMAC: %s", sn, attrs.PublicIP, net.HardwareAddr(vxlanAttrs.VtepMAC))
					if err := retry.Do(func() error {
						return nw.dev.AddARP(neighbor{IP: sn.IP, MAC: net.HardwareAddr(vxlanAttrs.VtepMAC)})
					}); err != nil {
						log.Error("AddARP failed: ", err)
						continue
					}

					if err := retry.Do(func() error {
						return nw.dev.AddFDB(neighbor{IP: attrs.PublicIP, MAC: net.HardwareAddr(vxlanAttrs.VtepMAC)})
					}); err != nil {
						log.Error("AddFDB failed: ", err)

						// Try to clean up the ARP entry then continue
						if err := retry.Do(func() error {
							return nw.dev.DelARP(neighbor{IP: event.Lease.Subnet.IP, MAC: net.HardwareAddr(vxlanAttrs.VtepMAC)})
						}); err != nil {
							log.Error("DelARP failed: ", err)
						}

						continue
					}

					// Set the route - the kernel would ARP for the Gw IP address if it hadn't already been set above so make sure
					// this is done last.
					if err := retry.Do(func() error {
						return netlink.RouteReplace(&vxlanRoute)
					}); err != nil {
						log.Errorf("failed to add vxlanRoute (%s -> %s): %v", vxlanRoute.Dst, vxlanRoute.Gw, err)

						// Try to clean up both the ARP and FDB entries then continue
						if err := nw.dev.DelARP(neighbor{IP: event.Lease.Subnet.IP, MAC: net.HardwareAddr(vxlanAttrs.VtepMAC)}); err != nil {
							log.Error("DelARP failed: ", err)
						}

						if err := nw.dev.DelFDB(neighbor{IP: event.Lease.Attrs.PublicIP, MAC: net.HardwareAddr(vxlanAttrs.VtepMAC)}); err != nil {
							log.Error("DelFDB failed: ", err)
						}

						continue
					}
				}
			}
		case lease.EventRemoved:
			if event.Lease.EnableIPv4 {
				if directRoutingOK {
					log.V(2).Infof("Removing direct route to subnet: %s PublicIP: %s", sn, attrs.PublicIP)
					if err := retry.Do(func() error {
						return netlink.RouteDel(&directRoute)
					}); err != nil {
						log.Errorf("Error deleting route to %v via %v: %v", sn, attrs.PublicIP, err)
					}
				} else {
					log.V(2).Infof("removing subnet: %s PublicIP: %s VtepMAC: %s", sn, attrs.PublicIP, net.HardwareAddr(vxlanAttrs.VtepMAC))

					// Try to remove all entries - don't bail out if one of them fails.
					if err := retry.Do(func() error {
						return nw.dev.DelARP(neighbor{IP: sn.IP, MAC: net.HardwareAddr(vxlanAttrs.VtepMAC)})
					}); err != nil {
						log.Error("DelARP failed: ", err)
					}

					if err := retry.Do(func() error {
						return nw.dev.DelFDB(neighbor{IP: attrs.PublicIP, MAC: net.HardwareAddr(vxlanAttrs.VtepMAC)})
					}); err != nil {
						log.Error("DelFDB failed: ", err)
					}

					if err := retry.Do(func() error {
						return netlink.RouteDel(&vxlanRoute)
					}); err != nil {
						log.Errorf("failed to delete vxlanRoute (%s -> %s): %v", vxlanRoute.Dst, vxlanRoute.Gw, err)
					}
				}
			}
	}
}
迷茫路人
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Kubernetes:(十八)flannel网络
ver_mouth__的博客
08-15 3752
覆盖网络,在基础网络上叠加的一种虚拟网络技术模式,该网络中的主机通过虚拟链路连接起来类似VPN隧道,原理为在物理网络上实现的逻辑网络将源数据包封装到UDP中,并使用基础网络的IP/MAC作为外层包头进行封装,然后在以太网上传输,到达目的地后由隧道断电解封并将数据发给目标地址是Overlay网络的一种,也是将源数据包封装在另一种网络包中进行路由转发和通信,目前已支持UDP、VXLAN、AWS VPN和GCE路由等数据转发方式特点hostgw这种方式就是直接路由vxlan。...
flannel网络概述
weixin_46389583的博客
11-08 1735
** flannel网络概述 ** flannel 是 CoreOS 开发的容器网络解决方案。flannel 为每个 host 分配一个 subnet(子网),容器从此 subnet 中分配 IP,这些 IP 可以在主机间路由,容器间无需 NAT 和 port mapping(端口映射) 就可以跨主机通信。 flannel的作用 因为flannel实现跨主机的子网通信是通过主机中的dr0网卡进行通信的,由flannel分配的子网都是从手动指定的一个大的子网中划分出来分配的。 flannel 会在每个主机上运
理解flannel的三种容器网络方案原理
Crazy博客
06-05 1548
本文主要介绍flannel在k8s网络中作为网络插件通过UDP、VXLAN、HOST-GATEWAY三种模式来解决容器跨主机网络通信的,并通过手动实现这三种模式深入理解其原理。在Flannel的UDP模式中,每个节点都会启动一个UDP服务器,用于监听来自其他节点的数据包。当一个容器向另一个容器发送数据包时,它会将数据包发送到目标容器的IP地址和端口号。Flannel会将该数据包封装在一个UDP数据包中,并将其发送到目标节点的UDP服务器。目标节点的UDP服务器会解析该数据包,并将其传递给目标容器。
Kubernetes容器网络(一):Flannel网络原理
hxt的博客
04-05 7316
前言 本文主要分享Flannel如何解决跨主机容器之间通信问题的,如果你对主机内容器之间通信流程还不了解,建议先看下这篇文章:Docker网络原理 1、前置网络知识 1)、tun/tap设备 tun/tap设备在虚拟机的组网过程中起到作用。tun表示虚拟的是点对点设备,tap表示虚拟的是以太网设备,这两种设备针对网络包实施不同的封装 tun/tap设备到底是什么?从Linux文件系统的角度看,它是用户可以用文件句柄操作的字符设备;从网络虚拟化角度看,它是虚拟网卡,一端连着网络协议栈,另一端连着用户态程序 t
flannel详细介绍
最新发布
ApexPredator的博客
05-22 975
flannel详细介绍
kubernetes】集群网络(二):Flannel的VxLan、Host-GW模式
追寻梦想的青春
02-01 1267
Flannel作为k8s中广泛使用的网络插件,它的实现相对容易理解,它还提供了不同的模式,常用的是VxLan和Host-GW,由于Host-GW要求宿主机在同一个网段,使用受限,因此,最常用的还是VxLan
搭建 Flannel 网络
LogicLancer的博客
03-27 784
Flannel 是一个简单且易于配置的网络解决方案,用于容器化应用程序。它为每个容器提供一个覆盖网络,使得容器之间可以相互通信。本教程将介绍如何使用 Docker CLI 和 Docker Compose 两种方式来搭建 Flannel 网络
kubernetes flannel网络插件安装
02-26
kubernetes flannel网络插件安装
flannel网络插件
02-29
flannel网络插件
kubernetes-flannel网络插件
01-12
**Kubernetes Flannel 网络插件** 在 Kubernetes (K8s) 集群中,网络通信是实现服务间交互的关键。Flannel 是一个轻量级的网络解决方案,它为 Kubernetes 提供了跨主机的网络通信能力,使得集群内的Pods(应用容器...
flannel网络配置
04-17
本文将详细探讨flannel网络配置及其在Docker集群中的作用。 **1. Flannel概述** Flannel是由CoreOS开发的网络子系统,旨在为多主机集群提供简单且可靠的网络方案。它通过为每个节点分配一个网络子网,实现了Pod间的...
k8s-kubernetes--网络策略、flannel网络插件和calico网络插件
Gong_yz的博客
03-12 5379
网络策略通过网络插件来实现。要使用网络策略,你必须使用支持 NetworkPolicy 的网络解决方案。 创建一个 NetworkPolicy 资源对象而没有控制器来使它生效的话,是没有任何作用的。(Flannel不支持 NetworkPolicy,所以使用Flannei网络插件是不会隔离pod的)
kubernetes】二进制部署k8s集群之cni网络插件flannel和calico工作原理(中)
liu_xueyin的博客
02-22 2044
/在 master01 节点上操作#上传 calico.yaml 文件到 /opt/k8s 目录中,部署 CNI 网络#修改里面定义Pod网络(CALICO_IPV4POOL_CIDR),与前面kube-controller-manager配置文件指定的cluster-cidr网段一样#等 Calico Pod 都 Running,节点也会准备就绪---------- node02 节点部署 ----------//在 node01 节点上操作cd /opt/
CNI之Flannel网络原理
m0_47495420的博客
06-19 890
简介flannel是 coreos 开源的Kubernetes CNI实现。它使用etcd或者Kubernetes API存储整个集群的网络配置。每个 kubernetes节点上运行flanneld组件,它从etcd或者Kubernetes API获取集群的网络地址空间,并在空间内获取一个subnet,该节点上的容器 IP都从这个subnet中分配,从而保证不同节点...
k8s的flannel和cilium的pod网络访问链路解析
李姓门徒
03-27 1373
Kubernetes (K8s)的Pod网络访问要求可以根据应用程序的需要和安全策略而定,以下是一些常见的要求: - 内部通信:Pod之间需要能够相互通信,通常在同一个Kubernetes集群或命名空间中的Pod可以直接通过其网络地址进行通信。 - 外部访问:Pod可能需要从集群外部的网络访问,这可以通过创建一个Service对象来实现。Service对象可以公开Pod的网络端口,使其能够从集群外部被访问。 本文经过简单分析和研究k8s环境下,pod访问之间的网络模型,并探讨各类网络模型下的协议和相关的优
Flannel网络
weixin_45437959的博客
04-17 155
通过给每台宿主机分配一个子网的方式为容器提供虚拟网络,它基于Linux TUN/TAP,使用UDP封装IP包来创建overlay网络,并借助etcd维护网络的分配情况。
kubernetes系列】flannel三种常见模式分析
margu_168的博客
08-01 1777
对端宿主机的流量可以用类似方法抓取。和两台主机直接通信相比,Flannel UDP模式多了一个 flanneld 进程的处理,该处理会导致数据多次在用户态和内核态传递。如下图所示:第一次,用户态的容器进程发出的 IP 包经过 cni0 网桥进入内核态;第二次,IP 包根据路由表进入 TUN(flannel0)设备,从而回到用户态的 flanneld 进程;第三次,flanneld 进行 UDP 封包之后重新进入内核态,将 UDP 包通过宿主机的 eth0 发出去。
【云原生Docker】10-Docker网络-flannel介绍
qq_43714097的博客
04-07 689
上一章节介绍了Docker网络的几种模式,其中包括bridge,host,none,container,自定义等几种网络模式。同时我们也介绍了如何让同一宿主机上的Docker容器相互通信,本章节将着重介绍Dokcer容器的跨主机通信,已经跨主机通信的关键网络插件flannel。容器直接使用宿主机的网络,这样天生就可以支持跨主机通信。虽然可以解决跨主机通信问题,但这种方式应用场景很有限,容易出现端口冲突,也无法做到隔离网络环境,一个容器崩溃很可能引起整个宿主机的崩溃。
深入理解flannel
kuangfeng的博客
04-18 504
根据官网的描述,flannel是一个专为kubernetes定制的三层网络解决方案,主要用于解决容器的跨主机通信问题。1.概况首先,flannel利用Kubernetes API或者etcd用于存储整个集群的网络配置,其中最主要的内容为设置集群的网络地址空间。例如,设定整个集群内所有容器的I...
Kubernetes Flannel 网络
04-06
Kubernetes Flannel 网络是一个基于虚拟化的软件定义网络(SDN)解决方案,用于提供 Kubernetes 集群内部和外部节点之间的网络通信。Flannel 通过在每个节点上创建一个虚拟网络接口,将容器网络和主机网络连接在一起...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值