k8s Flannel vxlan模式原理

最新推荐文章于 2023-12-04 18:06:54 发布
最新推荐文章于 2023-12-04 18:06:54 发布
阅读量278 收藏
点赞数
文章标签: 云原生 kubernetes 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/adamho/article/details/132194839
版权
本文详细解释了Kubernetes(k8s)使用Flannel在vxlan模式下的网络配置、cni0网桥、veth设备以及vtep设备的作用,涉及ARP缓存、UDP封装、路由转发等内容,确保POD间的通信可靠性和网络拓扑管理。
摘要由CSDN通过智能技术生成

k8s Flannel vxlan模式原理

1  k8s网络模型

Flannel 在每个节点上运行一个 flanneld 代理,并预先分配一个子网给主机节点 ,例如10.244.3.1给k8sworker1,Pod运行的前再分配这个子网的IP。Flannel 使用etcd来保存网络配置,已分配的子网,节点IP等。同时还要分配flannel1的 arp-地址解析协议永久缓存,cni0-网关, veth设备(veth设备是每一个POD在主机端有一个veth设备)等,具体作用在后面介绍。

例,arp缓存 ip neigh show dev flannel.1,每台主机都有同样一个flannel.1

10.244.4.0 lladdr a2:8d:f0:2e:58:ce PERMANENT

10.244.1.0 lladdr 06:7d:8a:1f:59:c2 PERMANENT

10.244.5.0 lladdr 0a:fb:71:0f:74:c0 PERMANENT

10.244.2.0 lladdr 5a:e4:c3:cc:13:c2 PERMANENT

10.244.0.0 lladdr 12:2a:47:be:1f:33 PERMANENT

2. 网络配置及cni0:

Flannel 网络配置:

[root@k8smaster1 flannel]# cat /var/run/flannel/subnet.env

FLANNEL_NETWORK=10.244.0.0/16

FLANNEL_SUBNET=10.244.0.1/24

FLANNEL_MTU=1450

FLANNEL_IPMASQ=true

   在我们这个集群中的实际分配状况如下:

[sdwfwd@k8sworker1 /]$ ifconfig

cni0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1450

        inet 10.244.3.1  netmask 255.255.255.0  broadcast 10.244.3.255

        inet6 fe80::140b:57ff:fe5c:77ce  prefixlen 64  scopeid 0x20<link>

        ether 16:0b:57:5c:77:ce  txqueuelen 1000  (Ethernet)

        RX packets 146292640  bytes 52132921571 (48.5 GiB)

        RX errors 0  dropped 0  overruns 0  frame 0

        TX packets 143861695  bytes 82973332387 (77.2 GiB)

        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

flannel.1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1450

        inet 10.244.3.0  netmask 255.255.255.255  broadcast 0.0.0.0

        inet6 fe80::a011:55ff:fe0b:9855  prefixlen 64  scopeid 0x20<link>

        ether a2:11:55:0b:98:55  txqueuelen 0  (Ethernet)

        RX packets 119234264  bytes 37483182903 (34.9 GiB)

        RX errors 0  dropped 0  overruns 0  frame 0

        TX packets 104687050  bytes 33146619706 (30.8 GiB)

        TX errors 0  dropped 8 overruns 0  carrier 0  collisions 0

veth43438514: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1450

        inet6 fe80::60a3:9ff:fe7e:b5f0  prefixlen 64  scopeid 0x20<link>

        ether 62:a3:09:7e:b5:f0  txqueuelen 0  (Ethernet)

        RX packets 415692  bytes 28769309 (27.4 MiB)

        RX errors 0  dropped 0  overruns 0  frame 0

        TX packets 722618  bytes 49979675 (47.6 MiB)

        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

[sdfsdf@k8sworker1 /]$ ethtool -i cni0

driver: bridge

version: 2.3

firmware-version: N/A

expansion-rom-version:

bus-info: N/A

supports-statistics: no

supports-test: no

supports-eeprom-access: no

supports-register-dump: no

supports-priv-flags: no

这里的cni0,是一种网桥类型的设备,是一个工作在第二层网络的设备以MAC地址作为目的地进行帧转发,可以看成一个交换机,只负责局域网内部转发。这样就能保证同一主机内的POD的通信。

同一台主机的POD之间是如何通信的:

 不同网络命名空间的设备是可以通过veth这样的设备去连接的,可以用 ifconfig看到,veth是成对出现的,不同的POD属于不同的命令空间的他们是不能通信的,所以需要建立 veth pair的设备,连接到两端的网络命名空间去通信。

但是只有veth是设备是不够的,因为一旦有很多的POD,要让POD之间都联通就必须得两两的去建立这种veth设备,这样veth设备会随时POD的增多而极速增长,而网桥cni0的出现,就会让个拓扑图变得简单,veth pair的一端连接POD,别一个端连接网桥cni0,所以veth看起来更像网线,网桥就将同一台主机上所有POD连接在一起,所以网桥更像一个交换机,工作在第二层,这样就让同一台主机各POD能够进行通信。

3. Flannel.1 介绍

这里的flannel.1是一种 vxlan类型的设备

Vxlan:VxLAN是一种UDP封装协议,它使属于同一网络的主机能够通过L3路由基础设施进行通信

[sdfssfd@k8sworker1 /]$ ethtool -i flannel.1

driver: vxlan

version: 0.1

firmware-version:

expansion-rom-version:

bus-info:

supports-statistics: no

supports-test: no

supports-eeprom-access: no

supports-register-dump: no

supports-priv-flags: no

准备的说法是,flannel.1是一个vtep-vxlan tunnel endpoint设备,在vxlan模式下,这个vtep设备的功能就是封包解包。为什么要封包解包,因为在vxlan模式下,要把发往目标的IP的数据包会用UDP的格式封装起来,最后通过物理网卡和协议栈去发往对端的,

从POD内部发往本地主机物理网卡时,首先要通过cni0网桥的,网桥再将这个数据包转发到flannel.1的,下面介绍一下这种转发的规则及POD和网桥的通信规则:

同一台主机的转发,在上面已经讲讲了。

但如何让POD与外部或公网通信的? 因为网桥还有一个帧转发的功能,它需要把数据帧转发到第三层网络协议栈上去,而网桥只有在数据帧MAC地址为网桥自身MAC地址时,网桥就认为该数据包是要发往主机的,表明该帧是要访问外部网络,此时它才进行转发。如果实现网络数据帧的MAC地址是网桥自身MAC地址的呢,详细的可以看POD里面:

K8sworker1 pod:

[root@ldsfsd-deployment-85b94bb6c-6wsmv tmp]# route -n

Kernel IP routing table

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface

0.0.0.0         10.244.3.1      0.0.0.0         UG    0      0        0 eth0

10.244.0.0      10.244.3.1      255.255.0.0     UG    0      0        0 eth0

10.244.3.0      0.0.0.0         255.255.255.0   U     0      0        0 eth0

可以看到只要发往10.244.0.0 这个网段的数据时,就会把网桥 10.244.3.1作为网关(IP通信中转站), 那么k8sworker1 的pod发出去的数据包就指定到达10.244.3.1这个ip上,所以mac地址就是10.244.3.1对应的mac地址,即cni0的mac地址。正是由于这个原因,触发了cni0网桥的转发到主机上的三层网络协议栈的这个机制,而到达k8sworker1主机后,通过ip要看具体转发到哪张网卡是看主机的路由信息的,所以,先看下k8sworker1的路由信息。

[sfdfed@k8sworker1 /]$ route -n

Kernel IP routing table

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface

0.0.0.0         192.168.3.1     0.0.0.0         UG    100    0        0 enp0s3

10.244.0.0      10.244.0.0      255.255.255.0   UG    0      0        0 flannel.1

10.244.1.0      10.244.1.0      255.255.255.0   UG    0      0        0 flannel.1

10.244.2.0      10.244.2.0      255.255.255.0   UG    0      0        0 flannel.1

10.244.3.0      0.0.0.0         255.255.255.0   U     0      0        0 cni0

10.244.4.0      10.244.4.0      255.255.255.0   UG    0      0        0 flannel.1

10.244.5.0      10.244.5.0      255.255.255.0   UG    0      0        0 flannel.1

172.17.0.0      0.0.0.0         255.255.0.0     U     0      0        0 docker0

192.168.3.0     0.0.0.0         255.255.255.0   U     100    0        0 enp0s3

 如果此时要把k8sworker1数据包发往k8s worker3的 POD :10.244.5.103

查看k8sworker1的路由信息,通过路由信息,看到属于10.244.5.0/24这个网段的数据包都会经过 flannel.1发出,网关是10.244.5.0 ,这个ip也就是对端vtep设备的ip地址

[sinbdfl@k8sworker1 /]$ route -n

Kernel IP routing table

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface

0.0.0.0         192.168.3.1     0.0.0.0         UG    100    0        0 enp0s3

10.244.0.0      10.244.0.0      255.255.255.0   UG    0      0        0 flannel.1

10.244.1.0      10.244.1.0      255.255.255.0   UG    0      0        0 flannel.1

10.244.2.0      10.244.2.0      255.255.255.0   UG    0      0        0 flannel.1

10.244.3.0      0.0.0.0         255.255.255.0   U     0      0        0 cni0

10.244.4.0      10.244.4.0      255.255.255.0   UG    0      0        0 flannel.1

10.244.5.0      10.244.5.0      255.255.255.0   UG    0      0        0 flannel.1

172.17.0.0      0.0.0.0         255.255.0.0     U     0      0        0 docker0

192.168.3.0     0.0.0.0         255.255.255.0   U     100    0        0 enp0s3

可以看到它需要匹配的路由信息。

10.244.5.0 其实就是对端的一个vtep设备的IP地址,vtep就是一个封包解包的设备,封解的都是UDP包,封包完成后发往主机节点,由主机节点发送这个UDP包,达到k8sworker3这个设备的物理网卡上面。但是在发往k8sworker3主机节点网卡前,flanne.1要进行一加工处理,只有这样才能让内核认识这是一个vxlan模式的数据包,以便内核能够对它进行特殊的处理,处理的时候会在包的前面加上对端vtep设备的MAC地址 ,那么怎么得到的MAC地址呢,这就要看flanneld这个进程,因为flanneld这个进程会在节点上运行,并在arp缓存中写入了mac地址,且永不过期。

在k8sworker1.

[sisdfe@k8sworker1 /]$ ip neigh show dev flannel.1

10.244.4.0 lladdr a2:8d:f0:2e:58:ce PERMANENT

10.244.1.0 lladdr 06:7d:8a:1f:59:c2 PERMANENT

10.244.5.0 lladdr 0a:fb:71:0f:74:c0 PERMANENT

10.244.2.0 lladdr 5a:e4:c3:cc:13:c2 PERMANENT

10.244.0.0 lladdr 12:2a:47:be:1f:33 PERMANENT

除了加上mac地址,还会加上 vxlan头部信息,来表明这是一个vxlan帧,这样方便对端知道这是一个vxlan帧并进行相应的解包操作。同时头部信息中还包含一个vni的信息,只有vni相同的网络设备才有解包的资格。Flannel.1在对这个包封装完后,还要用UDP格式把这个数据包再包裹一次,这时需要知道要发往的对端的IP,这时flannel.1会查询本机的一个fdb的转发数据库获取目的节点主机的IP。

K8sworker1:

[sidnsdfw@k8sworker1 /]$ bridge fdb show flannel.1 |grep 0a:fb:71:0f:74:c0

0a:fb:71:0f:74:c0 dev flannel.1 dst 192.168.3.225 self permanent

这个IP就是k8sworker3的主机IP,

fdb配置表和前面提到的ARP缓存,都是由 flanneld进程完成的。

k8sworker3 的接收过程:

收到数据包后通过vxlan头部信息,VNI标记,把包给flannel.1进行解包,发现要发送的IP为10.244.5.103,然后查询本机路由信息

[root@k8sworker3 ~]# route -n

Kernel IP routing table

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface

0.0.0.0         192.168.3.1     0.0.0.0         UG    100    0        0 enp0s3

10.244.0.0      10.244.0.0      255.255.255.0   UG    0      0        0 flannel.1

10.244.1.0      10.244.1.0      255.255.255.0   UG    0      0        0 flannel.1

10.244.2.0      10.244.2.0      255.255.255.0   UG    0      0        0 flannel.1

10.244.3.0      10.244.3.0      255.255.255.0   UG    0      0        0 flannel.1

10.244.4.0      10.244.4.0      255.255.255.0   UG    0      0        0 flannel.1

10.244.5.0      0.0.0.0         255.255.255.0   U     0      0        0 cni0

172.17.0.0      0.0.0.0         255.255.0.0     U     0      0        0 docker0

192.168.3.0     0.0.0.0         255.255.255.0   U     100    0        0 enp0s3

发现的匹配规则为本地cni0网桥的,然后把数据发送到网桥上,网桥是连接所有的子网,网桥发现10.244.5.103是子网的IP,则把数据包发往这个IP.

UDP是可以丢包的,那个上面的UDP封包并传输是可靠的吗?

不用考虑可靠性。这里的UDP封装的IP包实际上是充当了第二层链路层的工作,传输的可靠性是靠传输层实现的,传输层靠的是对应POD所在网络命令空间中的TCP的重传来保证的。

西方客
关注
flannel原理vxlan模式解析
Deepexi_Date的博客
12-10 1223
作者:刘海峰,IT行业资深码农,从事.net/java/go语言开发十余年,长期关注springcloud/k8s/linux网络相关的技术,现为滴普科技容器产品首席架构师。 前言 上一章介绍完flannel的udp模式后,接着来介绍一下vxlan模式,因为很多生产的K8S都正在使用这个模式,所以将会介绍得详细些。 在前面的章节中,我们介绍过配置linux vxlan完成跨主机的容器通信,flannelvxlan模式大概完成的事情就是把那个章节中手工完成的事情自动化了而已,想了解的童鞋可以看回那一章:
flannel-VXLAN模式
qq_35311140的博客
11-22 811
从flannel入门实践可知,flannel采用daemonset方式部署,flannel是一种no server架构方式,每个节点上的flannel pod只需管理本节点网络即可。名称IP所在节点10.244.1.610.244.1.710.244.2.7同节点pod上图展示了同节点下的网络拓扑图。以在中ping在中,由可知,先将请求报文发送到eth0,由于是veth pair,且另一端绑定到cni0上,所以请求报文会发送给cni0。cni0接收到报文,由于目的ip是10.244.1.7。
k8s容器互联-flannel vxlan 原理
我活在当下,我巨他妈勇敢。
03-15 669
flannel 在为不同主机的pod分配ip地址的时候,会在一个大的网段范围内分配ip地址,而同一台主机上的pod,则是在大的网段下延伸出一个较小的子网,同一台主机上的ip地址则是在较小的子网范围内去进行分配。例如k8s启动flannel插件时,会通过flannel的配置文件指定大的网段的范围和flannel启动方式,我们选用的是vxlan模式这样整个集群的ip地址就是在10.10.0.0/16 网段去进行分配。
4. K8S之Flannel
weixin_45012007的博客
06-29 373
集群 pod 之间不能互相通信 [root@192-168-199-13 ~]# kubectl get pod -o wide NAME READY STATUS RESTARTS AGE IP NODE NOMINATED NODE READINESS GATES nginx-ds-6z2cl 1/1 Running 2 12d 172.7.14.3 19
K8s 配置网络插件flannel
热门推荐
Jesse技术博客
09-17 1万+
配置网络插件flannel docker:     bridge:容器的默认网络     joined:使用别的容器的网络空间     open:容器直接共享宿主机的网络空间     none:不使用网络空间 Kubernetes网络通信:     容器间通信:同一个Pod内的多个容器间的通信     Pod通信:Pod IP &lt;==&gt; Pod IP     Pod与Service...
浅谈K8s中的flannel网络
机核动力的博客
07-06 535
通过上面的vxlan数据流向就知道网络vxlan的数据通路是怎么样的。当然最好还是用Directrouting,因为当垮网络网段时host-gw没有办法访问的,Directrouting可以降级为vxlan隧道形式访问。host-gw: Host Gateway ,就是用宿主机做网关,效率非常高,不输于calico,缺点是node节点主机必须在同一个网段中。可以看看宿主机的路由表,flannel网段是直接指向flannel.1设备的。默认的网络后端是vxlan模式vxlan模式的数据流向一般是这样的。
flannel原理vxlan模式
lingshengxiyou的博客
11-07 707
但是和udp隧道不一样的是,udp隧道的tun网卡可以不填ip(linux),vtep是填充了一个32位掩码的ip了,vxlan的路由不仅指定了发送网卡,也指定了下一跳为对端vtep的ip,因为vxlan是mac in udp,而mac地址需要根据邻居子系统的arp表去查,arp表又需要依赖到ip地址,所以需要配置下一跳的ip地址为对端vtep的ip地址。有上面的基础,flannel只是将以上路由表,arp表,fdb表的添加和移除操作做一个编程实现,自动的添加和删除路由表。
Flannel-vxlan.docx
12-30
Flannel-VXLAN 模式的实现原理及使用 Flannel-VXLAN 模式是 Flannel 网络的一种实现方式,它使用 VXLAN(Virtual Extensible LAN)技术来实现网络虚拟化。VXLAN 是 Linux 内核本身支持的一种网络虚拟化技术,可以在...
k8s flannel原理
u013469376的博客
02-23 923
flannel: Flannel是CoreOS维护的一个网络组件,Flannel为每个Pod提供全局唯一的IP,Flannel使用ETCD来存储Pod子网与Node IP之间的关系。flanneld守护进程在每台主机上运行,并负责维护ETCD信息和路由数据包。 Flannel工作模式原理: Flannel支持多种数据转发方式: UDP:最早支持的一种方式,由于性能最差,目前已经弃用。 VXLAN:Overlay Network方案,源数据包封装在另一种网络包里面进行路由转发和通信 这也是网络的虚拟化技术,
企业运维实战--k8s学习笔记4.k8s网络通信、Flannel vxlan模式简介、calico网络插件替换、网络策略范例总结
Rabbit_hyl的博客
07-28 617
企业运维实战--k8s学习笔记4.k8s网络通信、Flannel vxlan模式简介、calico网络插件替换、网络策略范例编写一、k8s网络通信简介(重点)二、Flannel vxlan模式简介Flannel vxlan模式跨主机通信原理简介DR模式实现三、calico网络插件替换flannel四、calico支持的网络策略-类似访问控制 一、k8s网络通信简介(重点) k8s是通过CNI接口接入插件来实现网络通讯的。目前较为流行的插件有flannel、calico等。 插件存放位置在/etc/cni/
k8s的单节点部署——flannel网络部署
weixin_51725822的博客
04-12 392
k8s——flannel网络配置一、docker引擎部署二、flannel网络配置master操作1、查看写入的信息2、拷贝到所有node节点(只需要部署在node节点即可)3、所有node节点操作解压4、创建k8s工作目录5、编辑flannel脚本6、开启flannel网络功能7、配置docker连接flannel8、重启docker服务9、查看flannel网络10、测试ping通对方docker0网卡 证明flannel起到路由作用(在两个node上操作) 一、docker引擎部署 所有node节点部
K8S网络之flannel服务简介与优缺点分析
meser88的博客
06-14 171
【运维工程师必看】K8S网络之flannel服务简介与优缺点分析 - 知乎
k8s 部署flannel网络配置
wyc788788的博客
04-14 997
目录docker引擎部署flannel网络配置1、写入分配的子网段到ETCD中,供flannel使用2、拷贝到所有node节点(只需要部署在node节点即可)3、所有node节点操作解压4、所有node节点创建k8s工作目录5、开启flannel网络功能6、配置docker连接flannel7、重启docker服务8、查看flannel网络9、测试ping通对方docker0网卡 证明flannel起到路由作用 部署flannel前先要在node节点安装docker docker引擎部署 1、安装dock
k8s网络主题系列之Flannel网络
yaodunlin的博客
08-07 386
k8s网络主题系列: 一、k8s网络之设计与实现 二、k8s网络之Flannel网络 三、k8s网络之Calico网络 1|0简介 Flannel是CoreOS团队针对Kubernetes设计的一个网络规划服务,简单来说,它的功能是让集群中的不同节点主机创建的Docker容器都具有全集群唯一的虚拟IP地址。 在默认的Docker配置中,每个节点上的Docker服务会分别负责所在节点容器的IP分配。这样导致的一个问题是,不同节点上容器可能获得相同的内外IP地址。并使这些容器之间能够之间通过I.
k8s的常用网络组件flannel的三种工作模式
最新发布
weixin_38965592的博客
12-04 498
这种模式,已经不适合线上的环境,性能太差,也是隧道的工种技术实现,而且解包的过程是flanne自身实现的,这样需要不断切换上下文和用户的内核形态,开销很大,现在基本上不用。
k8s常见故障
ss810540895的博客
10-09 1259
问题出现不可怕, 重要的是加好监控及时报警, 我们之前一直对 kube-system 的监控没有做到很好, flannel 一直启动不成功的问题是我检查时发现的,使用别人提供的yaml文件前, 要注意下资源设置的, 类似 Prometheus 也有这种问题的, 它对内存的要求很高预算充足就不要自建集群了, 有不少运维问题的, 万一出现一个解决不了的就很麻烦, 类似上次那篇文章: 记一次Kubernetes机器内核问题排查[1]希望我们的经验能帮助到使用 K8s 的各位读者.
Kubernetes网络-Flannel网络
Sunny的专栏
05-17 509
一、简介 Flannel是CoreOS团队针对Kubernetes设计的一个网络规划服务,简单来说,它的功能是让集群中的不同节点主机创建的Docker容器都具有全集群唯一的虚拟IP地址。 在默认的Docker配置中,每个节点上的Docker服务会分别负责所在节点容器的IP分配。这样导致的一个问题是,不同节点上容器可能获得相同的内外IP地址。并使这些容器之间能够之间通过IP地址相互找到,也就是相互ping通。 Flannel的设计目的就是为集群中的所有节点重新规划IP地址的使用规则,从而使得不同节点上的
Kubernetes_容器网络_Flannel_01_Flannel简介
毛毛的专栏
02-05 1218
Flannel
K8S核心插件-Flannel网络插件
神棍之路
08-18 730
首先flannel利用Kubernetes API或者etcd用于存储整个集群的网络配置,其中最主要的内容为设置集群的网络地址空间。例如,设定整个集群内所有容器的IP都取自网段“10.1.0.0/16”。接着flannel在每个主机中运行flanneld作为agent,它会为所在主机从集群的网络地址空间中,获取一个小的网段subnet,本主机内所有容器的IP地址都将从中分配。例如,设定本主机内所有容器的IP地址网段“10.1.2.0/24”。然后。...
k8s flannel crashloopbackoff
04-29
K8s Flannel CrashLoopBackOff 是一种常见的Kubernetes网络故障,此故障通常会导致Kubernetes集群中出现无法通信的问题。Flannel 是一个Kubernetes集群中常用的网络插件,它使用VXLAN技术来创建虚拟网络层以实现跨...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值